- Настройка сбора данных о событиях Windows Configure Windows Event collection
- Настройка политик аудита Configure audit policies
- Настройка сбора данных о событиях Configure event collection
- Сбор журналов событий аудита Windows Information Protection (WIP) How to collect Windows Information Protection (WIP) audit event logs
- Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP) Collect WIP audit logs by using the Reporting configuration service provider (CSP)
- Элемент «Пользователь» и его атрибуты User element and attributes
- Элемент «Журнал» и его атрибуты Log element and attributes
- Примеры Examples
- Статус владения файлом изменен с рабочего на личный File ownership on a file is changed from work to personal
Настройка сбора данных о событиях Windows Configure Windows Event collection
Функции обнаружения Microsoft Defender для удостоверений Microsoft Defender for Identity анализируют определенные записи журнала событий Windows для расширения своих возможностей и предоставления дополнительных сведений о том, кто именно выполняет определенные действия, например вход через NTLM, изменение групп безопасности и действия при аналогичных событиях. Microsoft Defender для удостоверений Microsoft Defender for Identity detection relies on specific Windows Event log entries to enhance some detections and provide additional information on who performed specific actions such as NTLM logons, security group modifications, and similar events. Чтобы проводить аудит и включать в журнал событий Windows нужные события, контроллерам домена требуются точные параметры расширенной политики аудита. For the correct events to be audited and included in the Windows Event Log, your domain controllers require accurate Advanced Audit Policy settings. Неверные параметры расширенной политики аудита могут привести к тому, что требуемые события не будут записываться в журнал и охват Defender для удостоверений Defender for Identity будет неполным. Incorrect Advanced Audit Policy settings can lead to the required events not being recorded in the Event Log and result in incomplete Defender для удостоверений Defender for Identity coverage.
Чтобы расширить возможности обнаружения угроз, необходимо настроить следующие события Windows и обеспечить их сбор в Defender для удостоверений Defender for Identity : To enhance threat detection capabilities, Defender для удостоверений Defender for Identity needs the following Windows Events to be configured and collected by Defender для удостоверений Defender for Identity :
Для событий служб федерации Active Directory (AD FS) For Active Directory Federation Services (AD FS) events
- 1202 — служба федерации проверила новые учетные данные. 1202 — The Federation Service validated a new credential
- 1203 — службе федерации не удалось проверить новые учетные данные. 1203 — The Federation Service failed to validate a new credential
- 4624 — учетная запись успешно использована для входа в систему. 4624 — An account was successfully logged on
- 4625 — учетную запись не удалось использовать для входа в систему. 4625 — An account failed to log on
Для прочих событий For Other events
- 4726 — удаление учетной записи пользователя 4726 — User Account Deleted
- 4728 — добавление участника в глобальную группу безопасности 4728 — Member Added to Global Security Group
- 4729 — удаление участника из глобальной группы безопасности 4729 — Member Removed from Global Security Group
- 4730 — удаление глобальной группы безопасности 4730 — Global Security Group Deleted
- 4732 — добавление участника в локальную группу безопасности 4732 — Member Added to Local Security Group
- 4733 — удаление участника из локальной группы безопасности 4733 — Member Removed from Local Security Group
- 4741 — добавление учетной записи компьютера 4741 — Computer Account Added
- 4743 — удаление учетной записи компьютера 4743 — Computer Account Deleted
- 4753 — удаление глобальной группы рассылки 4753 — Global Distribution Group Deleted
- 4756 — добавление участника в универсальную группу безопасности 4756 — Member Added to Universal Security Group
- 4757 — удаление участника из универсальной группы безопасности 4757 — Member Removed from Universal Security Group
- 4758 — удаление универсальной группы безопасности 4758 — Universal Security Group Deleted
- 4763 — удаление универсальной группы рассылки 4763 — Universal Distribution Group Deleted
- 4776 — попытка проверки данных учетной записи контроллером домена (NTLM) 4776 — Domain Controller Attempted to Validate Credentials for an Account (NTLM)
- 7045 — установка новой службы 7045 — New Service Installed
- 8004 — проверка подлинности NTLM 8004 — NTLM Authentication
Настройка политик аудита Configure audit policies
Чтобы изменить расширенные политики аудита контроллера домена, выполните следующие инструкции. Modify the Advanced Audit Policies of your domain controller using the following instructions:
Войдите на сервер с правами администратора домена. Log in to the Server as Domain Administrator.
Загрузите редактор управления групповыми политиками из соответствующего раздела, последовательно выбрав Диспетчер сервера > Средства > Управление групповой политикой. Load the Group Policy Management Editor from Server Manager > Tools > Group Policy Management.
Разверните узел Подразделения контроллеров домена, щелкните правой кнопкой мыши элемент Политика контроллеров домена по умолчанию и выберите Изменить. Expand the Domain Controllers Organizational Units, right-click on Default Domain Controllers Policy, and then select Edit.
Для задания этих политик можно использовать политику контроллеров домена по умолчанию или выделенный объект групповой политики (GPO). You can use the Default Domain Controllers Policy or a dedicated GPO to set these policies.
В открывшемся окне последовательно выберите Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности и в зависимости от включаемой политики выполните следующие действия. From the window that opens, go to Computer Configuration > Policies > Windows Settings > Security Settings and depending on the policy you want to enable, do the following:
Для конфигурации расширенной политики аудита For Advanced Audit Policy Configuration
Перейдите в раздел Конфигурация расширенной политики аудита > Политики аудита. Go to Advanced Audit Policy Configuration > Audit Policies. 
В разделе Политики аудита измените каждую из следующих политик и выберите Настроить следующие события аудита как для выполненных событий, так и для событий со сбоем. Under Audit Policies, edit each of the following policies and select Configure the following audit events for both Success and Failure events.
| Политика аудита Audit policy | Подкатегория Subcategory | ИД активируемых событий Triggers event IDs |
|---|---|---|
| Вход учетной записи Account Logon | Аудит проверки учетных данных Audit Credential Validation | 4776 4776 |
| Управление учетными записями Account Management | Аудит управления учетными записями компьютеров Audit Computer Account Management | 4741, 4743 4741, 4743 |
| Управление учетными записями Account Management | Аудит управления группами распространения Audit Distribution Group Management | 4753, 4763 4753, 4763 |
| Управление учетными записями Account Management | Аудит управления группами безопасности Audit Security Group Management | 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 |
| Управление учетными записями Account Management | Аудит управления учетными записями пользователей Audit User Account Management | 4726 4726 |
| Система System | Аудит расширения системы безопасности Audit Security System Extension | 7045 7045 |
Например, чтобы настроить Аудит управления группами безопасности, в разделе Управление учетными записями дважды щелкните Аудит управления группами безопасности и выберите Настроить следующие события аудита как для выполненных событий, так и для событий со сбоем. For example, to configure Audit Security Group Management, under Account Management, double-click Audit Security Group Management, and then select Configure the following audit events for both Success and Failure events.
Для локальных политик (ИД события: 8004) For Local Policies (Event ID: 8004)
- Групповые политики домена для получения событий 8004 в Windows должны применяться только к контроллерам домена. Domain group policies to collect Windows Event 8004 should only be applied to domain controllers.
- Когда датчик Defender для удостоверений Defender for Identity анализирует события Windows 8004, действия аутентификации NTLM Defender для удостоверений Defender for Identity обогащаются данными, к которым получает доступ сервер. When Windows Event 8004 is parsed by Defender для удостоверений Defender for Identity Sensor, Defender для удостоверений Defender for Identity NTLM authentications activities are enriched with the server accessed data.
Перейдите в раздел Локальные политики > Параметры безопасности. Go to Local Policies > Security Options.
В разделе Параметры безопасности настройте указанные политики безопасности следующим образом. Under Security Options, configure the specified security policies, as follows
| Параметр политики безопасности Security policy setting | Значение Value |
|---|---|
| Сетевая безопасность: ограничения NTLM — исходящий трафик NTLM к удаленным серверам Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers | Аудит всего Audit all |
| Сетевая безопасность: ограничения NTLM — аудит проверки подлинности NTLM на этом домене Network security: Restrict NTLM: Audit NTLM authentication in this domain | Включить все Enable all |
| Сетевая безопасность: Ограничение NTLM: Аудит входящего трафика NTLM Network security: Restrict NTLM: Audit Incoming NTLM Traffic | Включить аудит для всех учетных записей Enable auditing for all accounts |
Например, чтобы настроить Исходящий трафик NTLM к удаленным серверам, в разделе Параметры безопасности дважды щелкните Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам и выберите Аудит всего. For example, to configure Outgoing NTLM traffic to remote servers, under Security Options, double-click Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers, and then select Audit all.
Если вместо групповой политики выбрана локальная политика безопасности, добавьте в нее журналы аудита Вход учетной записи, Управление учетными записями и Параметры безопасности. If you choose to use a local security policy instead of using a group policy, make sure to add the Account Logon, Account Management, and Security Options audit logs in your local policy. При настройке расширенной политики аудита следует принудительно применить подкатегорию политики аудита. If you are configuring the advanced audit policy, make sure to force the audit policy subcategory.
Новые события, примененные с помощью объекта групповой политики, отображаются в журналах событий Windows. After applying via GPO, the new events are visible under your Windows Event logs.
Настройка сбора данных о событиях Configure event collection
В датчике Defender для удостоверений Defender for Identity сбор этих данных может происходить автоматически. Если датчик Defender для удостоверений Defender for Identity не развернут, события могут перенаправляться автономному датчику Defender для удостоверений Defender for Identity одним из следующих способов: These events can be collected automatically by the Defender для удостоверений Defender for Identity sensor or, if the Defender для удостоверений Defender for Identity sensor is not deployed, they can be forwarded to the Defender для удостоверений Defender for Identity standalone sensor in one of the following ways:
- Автономные датчики Defender для удостоверений Defender for Identity не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Defender для удостоверений Defender for Identity standalone sensors do not support the collection of Event Tracing for Windows (ETW) log entries that provide the data for multiple detections. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений Defender for Identity . For full coverage of your environment, we recommend deploying the Defender для удостоверений Defender for Identity sensor.
- Важно просмотреть и проверить политики аудита перед включением сбора данных о событиях, чтобы убедиться, что контроллеры доменов настроены правильно для записи необходимых событий. It is important to review and verify your audit policies before enabling event collection to ensure that the domain controllers are properly configured to record the necessary events.
Сбор журналов событий аудита Windows Information Protection (WIP) How to collect Windows Information Protection (WIP) audit event logs
Область применения: Applies to:
- Windows 10 версии 1607 и выше Windows 10, version 1607 and later
- Windows 10 Mobile (версия 1607 и выше) Windows 10 Mobile, version 1607 and later
Windows Information Protection (WIP) создает события аудита в следующих случаях: Windows Information Protection (WIP) creates audit events in the following situations:
Когда сотрудник изменяет значение параметра «Владение файлом» с Рабочий на Личный. If an employee changes the File ownership for a file from Work to Personal.
Когда данные отмечаются как Рабочие, но передаются в личное приложение или на личную веб-страницу If data is marked as Work, but shared to a personal app or webpage. (например, путем копирования и вставки, перетаскивания, предоставления общего доступа к контакту, размещения на личной веб-странице, или если пользователь предоставляет личному приложению временный доступ к рабочему файлу). For example, through copying and pasting, dragging and dropping, sharing a contact, uploading to a personal webpage, or if the user grants a personal app provides temporary access to a work file.
Когда приложение имеет пользовательские события аудита. If an app has custom audit events.
Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP) Collect WIP audit logs by using the Reporting configuration service provider (CSP)
Вы можете собирать журналы аудита WIP с устройств сотрудников, следуя указаниям, предоставленным в документации к поставщику служб конфигурации отчетов (CSP). Collect the WIP audit logs from your employee’s devices by following the guidance provided by the Reporting configuration service provider (CSP) documentation. Этот раздел содержит сведения о фактических событиях аудита. This topic provides info about the actual audit events.
Элемент Данные в ответе содержит запрошенные журналы аудита в формате XML. The Data element in the response includes the requested audit logs in an XML-encoded format.
Элемент «Пользователь» и его атрибуты User element and attributes
В данной таблице содержатся все доступные атрибуты для элемента Пользователь. This table includes all available attributes for the User element.
| Атрибут Attribute | Тип значения Value type | Описание Description |
|---|---|---|
| UserID UserID | Строка String | Идентификатор безопасности (SID) пользователя, соответствующий данному отчету об аудите. The security identifier (SID) of the user corresponding to this audit report. |
| EnterpriseID EnterpriseID | Строка String | Идентификатор предприятия, соответствующий данному отчету об аудите. The enterprise ID corresponding to this audit report. |
Элемент «Журнал» и его атрибуты Log element and attributes
В данной таблице содержатся все доступные атрибуты/элементы для элемента Журнал. This table includes all available attributes/elements for the Log element. Ответ может содержать ноль (0) или несколько элементов Журнал. The response can contain zero (0) or more Log elements.
| Атрибут/элемент Attribute/Element | Тип значения Value type | Описание Description |
|---|---|---|
| ProviderType ProviderType | Строка String | Всегда EDPAudit. This is always EDPAudit. |
| LogType LogType | Строка String | Включает: Includes:
|
| TimeStamp TimeStamp | Целое число Int | Использует структуру FILETIME для обозначения времени события. Uses the FILETIME structure to represent the time that the event happened. |
| Политика Policy | Строка String | Способ передачи рабочих данных в личное расположение: How the work data was shared to the personal location:
|
| Обоснование Justification | Строка String | Не реализовано. Not implemented. Это значение всегда будет пустым или NULL. This will always be either blank or NULL. Примечание Note |
| Объект Object | Строка String | Описание рабочих данных, к которым был осуществлен личный доступ. A description of the shared work data. Например, если сотрудник открывает рабочий файл с помощью личного приложения, здесь будет указан путь к файлу. For example, if an employee opens a work file by using a personal app, this would be the file path. |
| DataInfo DataInfo | Строка String | Любая дополнительная информация о том, каким образом был изменен рабочий файл: Any additional info about how the work file changed:
|
| Действие Action | Целое число Int | Предоставляет информацию о том, что произошло в тот момент, когда рабочие данные были переданы в личное расположение, включая: Provides info about what happened when the work data was shared to personal, including:
|
| FilePath FilePath | Строка String | Путь к файлу, указанному в событии аудита The file path to the file specified in the audit event. (например, расположение файла, расшифрованного сотрудником или размещенного на личном веб-сайте). For example, the location of a file that’s been decrypted by an employee or uploaded to a personal website. |
| SourceApplicationName SourceApplicationName | Строка String | Исходное приложение или веб-сайт. The source app or website. Для исходного приложения это удостоверение AppLocker. For the source app, this is the AppLocker identity. Для исходного веб-сайта это имя узла. For the source website, this is the hostname. |
| SourceName SourceName | Строка String | Строка, предоставленная приложением, которое зарегистрировало событие. A string provided by the app that’s logging the event. Она предназначена для описания источника рабочих данных. It’s intended to describe the source of the work data. |
| DestinationEnterpriseID DestinationEnterpriseID | Строка String | Значение корпоративного идентификатора приложения или веб-сайта, куда сотрудник передал данные. The enterprise ID value for the app or website where the employee is sharing the data. NULL, Личный или пустое значение означают, что корпоративный идентификатор отсутствует, поспольку данные были переданы в личное расположение. NULL, Personal, or blank means there’s no enterprise ID because the work data was shared to a personal location. Поскольку в настоящее время мы не поддерживаем множественную регистрацию, всегда будет отображаться одно из этих значений. Because we don’t currently support multiple enrollments, you’ll always see one of these values. |
| DestinationApplicationName DestinationApplicationName | Строка String | Целевое приложение или веб-сайт. The destination app or website. Для целевого приложения это удостоверение AppLocker. For the destination app, this is the AppLocker identity. Для целевого веб-сайта это имя узла. For the destination website, this is the hostname. |
| DestinationName DestinationName | Строка String | Строка, предоставленная приложением, которое зарегистрировало событие. A string provided by the app that’s logging the event. Она предназначена для описания назначения передачи рабочих данных. It’s intended to describe the destination of the work data. |
| Приложение Application | Строка String | Удостоверение AppLocker приложения, в котором произошло событие аудита. The AppLocker identity for the app where the audit event happened. |
Примеры Examples
Вот несколько примеров ответов от поставщика службы конфигурации отчетов. Here are a few examples of responses from the Reporting CSP.
Статус владения файлом изменен с рабочего на личный File ownership on a file is changed from work to personal
1 1 0 SyncHdr 200 2 1 2 Replace 200 3 1 4 Get 200 4 1 4 ./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs
