Защитник Microsoft для аудита личности

Защитник Microsoft для удостоверений отслеживает ваши контроллеры домена, захватывая и анализируя сетевой трафик, а также используя события Windows непосредственно с ваших контроллеров домена. Чтобы события Windows отображались в средстве просмотра событий, необходимо включить аудит. К сожалению, аудит не включен по умолчанию. Microsoft создала отличную страницу документации по настройке сбора событий Windows, но это «много» ручной работы, поэтому я решил немного облегчить жизнь. Я создал экспорт политик, необходимых для Microsoft Defender for Identity, чтобы улучшить обнаружение с помощью событий Windows, чтобы другие могли импортировать их с помощью одной команды.

Документы Microsoft описывают пять конфигураций. В идеале необходимо выполнить все настройки Microsoft Defender для удостоверений, чтобы обеспечить расширенное обнаружение. Это пять настроек конфигурации.

1. Настройка политик аудита
2. Идентификатор события 8004 (NTLM)
3. Код события 1644 (веб-служба Active Directory)
4. Настройка аудита объектов
5. Аудит конкретных обнаружений (AD FS и Exchange)

Для первых трех параметров конфигурации я создал резервную копию объекта групповой политики, которую вы можете импортировать с помощью одной команды.

1. Загрузите файлы, нажав зеленую кнопку «Код» в верхней части репозитория, а затем «Загрузить ZIP».
2. Распакуйте файлы в место, которое вы помните.
3. Запустите команду PowerShell, показанную ниже.

 Import-Gpo - BackupGpoName " Microsoft Defender for Identity Auditing " - TargetName " Microsoft Defender for Identity Auditing " - Path C:UnpackedFiles - CreateIfNeeded

Для получения дополнительной информации см. мой пост в блоге:

https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/