Introduction
Microsoft Defender for Identity joue un rôle essentiel dans la sécurisation des infrastructures on-premises en détectant les menaces liées aux identités. En capturant des événements spécifiques et en alertant sur les anomalies, cet outil garantit une visibilité complète. Toutefois, une configuration incorrecte des politiques d’audit Windows peut limiter considérablement l’efficacité du capteur. Dans cet article, nous examinons comment configurer automatiquement l’audit des événements sous Windows pour les capteurs V3.x de Defender for Identity.
Bon à savoir
Pourquoi configurer l'audit des événements ?
L'audit des événements est indispensable pour détecter efficacement les attaques liées aux identités. Microsoft Defender for Identity utilise des événements spécifiques de sécurité Windows pour identifier des menaces. Cependant, il est fréquent que les administrateurs négligent la configuration des paramètres d’audit ou considèrent les paramètres par défaut comme suffisants.
Politiques d'audit requises
Pour capturer des signaux de sécurité critiques, les catégories suivantes doivent être configurées :
| Catégorie d'audit | Politique / Sous-catégorie | ID des événements |
|---|---|---|
| Connexion au compte | Validation des informations d'identification | 4776 |
| Gestion des comptes | Gestion des comptes d'ordinateurs | 4741, 4743 |
| Gestion des groupes de distribution | 4753, 4763 | |
| Gestion des groupes de sécurité | 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 | |
| Accès au service d'annuaire | Modifications du service d'annuaire | 5136 |
| Accès au système | Extension du système de sécurité | 7045 |
Quand des problèmes de santé apparaissent dans le portail, ils indiquent généralement une configuration incorrecte des paramètres d’audit. Ces problèmes peuvent être identifiés directement via l’onglet "Health Issues" dans Defender.
Différences entre les versions V2.x et V3.x
V2.x vs V3.x : une comparaison
La version V2.x du capteur de Defender for Identity fonctionne comme un agent séparé, nécessitant une configuration manuelle pour chaque système. En revanche, la version V3.x exploite le capteur EDR de Defender for Endpoint, permettant une intégration et une configuration centralisées.
Attention
Configuration automatique et SenseIdentity.exe
Le capteur V3.x introduit le fichier "SenseIdentity.exe" qui remplace "svchost.exe" pour les processus d'initialisation. Une mauvaise configuration des politiques de groupe peut entraîner des conflits. Vérifiez le fichier suivant en cas de dysfonctionnement : C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit.csv.
Activation des capteurs V3.x
Pré-requis à respecter
- Déploiement Defender for Endpoint : Le capteur nécessite que Microsoft Defender Antivirus soit actif ou en mode passif.
- Configuration minimale du serveur : Windows Server 2019 ou ultérieur avec la CU d'octobre 2025 installée.
- Limitations actuelles :
- Ne prend pas en charge les intégrations VPN ou ExpressRoute.
- Le capteur V2.x doit être désinstallé avant le déploiement.
[Composant bloque: powershell]
Dans le portail Microsoft Defender, activez le capteur V3.x via : Settings -> Identities -> Activation.
Configuration automatique des audits
Processus automatique avec V3.x
La configuration automatique simplifie les tâches d’administration en appliquant directement les paramètres d’audit requis à la politique locale du contrôleur de domaine. Contrairement aux versions V2.x, il n’est plus nécessaire de configurer manuellement les GPO.
Les actions automatiques incluent :
- Vérification de la configuration actuelle des événements Windows.
- Application des modifications nécessaires, comme :
- Audit avancé des services d'annuaire.
- Configuration NTLM via l'API de registre Windows.
- Modification des paramètres SACL pour les partitions de configuration du domaine.
Astuce
Enabling RPC auditing
L’audit RPC offre une meilleure visibilité en matière de sécurité et débloque des détections supplémentaires. Bien que désactivé par défaut, il peut être activé via les règles d’appareils ou les tags.
Règles d'appareil
Dans le portail Defender, accédez à : System -> Settings -> Asset Rule Management. Créez une règle pour affecter automatiquement le tag "Unified Sensor RPC Audit" aux appareils ciblés.
Glossaire des termes techniques
- SACL (System Access Control List) : Liste contrôlant l’accès aux objets système.
- NTLM (NT LAN Manager) : Protocoles d’authentification réseau Microsoft.
- EDR (Endpoint Detection and Response) : Solution de détection sur les terminaux.
