用於身分審核的 Microsoft Defender

Microsoft Defender for Identity 透過擷取和解析網路流量並直接利用網域控制站中的 Windows 事件來監視網域控制站。需要啟用審核才能使 Windows 事件顯示在事件檢視器中。不幸的是，預設情況下審核並未開啟。 Microsoft 創建了一個關於配置 Windows 事件收集的出色文件頁面，但這是「大量」手動工作，因此我決定讓生活變得更輕鬆一些。我建立了 Microsoft Defender for Identity 所需的策略匯出，以使用 Windows 事件增強偵測，以便其他人可以使用單一命令匯入。

Microsoft 文件描述了五種設定。理想情況下，需要為 Microsoft Defender for Identity 完成所有設定才能啟用增強偵測。這是五個配置設定。

1. 配置審核策略
2. 事件 ID 8004 (NTLM)
3. 事件 ID 1644（Active Directory Web 服務）
4. 配置對象審計
5. 審核特定檢測（AD FS 和 Exchange）

對於前三個配置設置，我創建了 GPO 的備份，您可以使用單一命令導入該備份。

1. 點擊儲存庫頂部的綠色「程式碼」按鈕，然後按一下「下載 ZIP」來下載檔案。
2. 將文件解壓縮到您記得的位置。
3. 執行如下所示的 PowerShell 命令。

 Import-Gpo - BackupGpoName " Microsoft Defender for Identity Auditing " - TargetName " Microsoft Defender for Identity Auditing " - Path C:UnpackedFiles - CreateIfNeeded

欲了解更多信息，請參閱我的部落格文章：

https://thalpius.com/2022/07/30/microsoft-defender-for-identity-auditing/