สำคัญ
"ตอนนี้ repo นี้อยู่ในโหมด 'Blue Screen' - เก็บถาวรและหยุดนิ่งทันเวลา!"
Microsoft Defender for Identity ตรวจสอบตัวควบคุมโดเมนของคุณโดยการจับภาพและแยกวิเคราะห์การรับส่งข้อมูลเครือข่าย และใช้ประโยชน์จากเหตุการณ์ Windows โดยตรงจากตัวควบคุมโดเมนของคุณ จำเป็นต้องเปิดใช้งานการตรวจสอบเพื่อให้เหตุการณ์ของ Windows ปรากฏในตัวแสดงเหตุการณ์ ขออภัย การตรวจสอบไม่ได้เปิดอยู่ตามค่าเริ่มต้น Microsoft ได้สร้างหน้าเอกสารที่ยอดเยี่ยมเกี่ยวกับการกำหนดค่าการรวบรวมกิจกรรมของ Windows แต่เป็นงานแบบแมนนวล "มาก" ดังนั้นฉันจึงตัดสินใจทำให้ชีวิตง่ายขึ้นเล็กน้อย ฉันสร้างการส่งออกนโยบายที่จำเป็นสำหรับ Microsoft Defender for Identity เพื่อปรับปรุงการตรวจจับโดยใช้เหตุการณ์ Windows เพื่อให้ผู้อื่นนำเข้าโดยใช้คำสั่งเดียว
เอกสาร Microsoft อธิบายการกำหนดค่าห้าแบบ ตามหลักการแล้ว การกำหนดค่าทั้งหมดจะต้องเสร็จสิ้นสำหรับ Microsoft Defender for Identity เพื่อเปิดใช้งานการตรวจจับที่ได้รับการปรับปรุง นี่คือการตั้งค่าการกำหนดค่าห้าประการ
กำหนดค่านโยบายการตรวจสอบ
รหัสเหตุการณ์ 8004 (NTLM)
รหัสเหตุการณ์ 1644 (บริการเว็บ Active Directory)
กำหนดค่าการตรวจสอบออบเจ็กต์
การตรวจสอบการตรวจจับเฉพาะ (AD FS และ Exchange)
สำหรับการตั้งค่าการกำหนดค่าสามรายการแรก ฉันได้สร้างข้อมูลสำรองของ GPO ซึ่งคุณสามารถนำเข้าได้โดยใช้คำสั่งเดียว
ดาวน์โหลดไฟล์โดยคลิกปุ่ม "รหัส" สีเขียวที่ด้านบนของที่เก็บ ตามด้วย "ดาวน์โหลด ZIP"
แตกไฟล์ไปยังตำแหน่งที่คุณจำได้
เรียกใช้คำสั่ง PowerShell ที่แสดงด้านล่าง
นำเข้า Gpo -BackupGpoName "Microsoft Defender สำหรับการตรวจสอบข้อมูลประจำตัว" -TargetName "Microsoft Defender สำหรับการตรวจสอบข้อมูลประจำตัว" -Path C:UnpackedFiles -CreateIfNeeded
สำหรับข้อมูลเพิ่มเติมโปรดดูโพสต์บล็อกของฉัน:
https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/
