用于身份审核的 Microsoft Defender

Microsoft Defender for Identity 通过捕获和解析网络流量并直接利用域控制器中的 Windows 事件来监视域控制器。需要启用审核才能使 Windows 事件显示在事件查看器中。不幸的是，默认情况下审核并未开启。 Microsoft 创建了一个关于配置 Windows 事件收集的出色文档页面，但这是“大量”手动工作，因此我决定让生活变得更轻松一些。我创建了 Microsoft Defender for Identity 所需的策略导出，以使用 Windows 事件增强检测，以便其他人使用单个命令导入。

Microsoft 文档描述了五种配置。理想情况下，需要为 Microsoft Defender for Identity 完成所有配置才能启用增强检测。这是五个配置设置。

1. 配置审核策略
2. 事件 ID 8004 (NTLM)
3. 事件 ID 1644（Active Directory Web 服务）
4. 配置对象审计
5. 审核特定检测（AD FS 和 Exchange）

对于前三个配置设置，我创建了 GPO 的备份，您可以使用单个命令导入该备份。

1. 单击存储库顶部的绿色“代码”按钮，然后单击“下载 ZIP”来下载文件。
2. 将文件解压到您记得的位置。
3. 运行如下所示的 PowerShell 命令。

 Import-Gpo - BackupGpoName " Microsoft Defender for Identity Auditing " - TargetName " Microsoft Defender for Identity Auditing " - Path C:UnpackedFiles - CreateIfNeeded

欲了解更多信息，请参阅我的博客文章：

https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/