Microsoft Defender for Identity monitorovaných aktivit
Microsoft Defender for Identity monitoruje informace vygenerované službou Active Directory vaší organizace, síťové aktivity a aktivity událostí za účelem zjištění podezřelých aktivit. Informace o monitorované aktivitě umožňují službě Defender for Identity určit platnost každé potenciální hrozby a správně určit prioritu a reagovat.
V případě platné hrozby nebo pravdivě pozitivní vám Defender for Identity umožňuje zjistit rozsah porušení zabezpečení pro každý incident, prošetřit, kterých entit se to týká, a určit, jak je napravit.
Informace monitorované službou Defender for Identity jsou prezentovány ve formě aktivit. Defender for Identity v současné době podporuje monitorování následujících typů aktivit:
Poznámka
- Tento článek se týká všech typů senzorů Defenderu for Identity.
- Aktivity monitorované službou Defender for Identity se zobrazují na stránce profilu uživatele i počítače.
- Aktivity monitorované službou Defender for Identity jsou k dispozici také na stránce rozšířeného proaktivního vyhledávání Microsoft Defender XDR.
Monitorované aktivity uživatelů: Změny atributů AD uživatelského účtu
| Monitorovaná aktivita | Popis |
|---|---|
| Stav omezeného delegování účtu se změnil | Stav účtu je teď pro delegování povolený nebo zakázaný. |
| Došlo ke změně hlavních názvů služby (SPN) omezeného delegování účtu | Omezené delegování omezuje služby, na které může zadaný server jednat jménem uživatele. |
| Delegování účtu se změnilo. | Změny nastavení delegování účtu |
| Změněný účet je zakázaný. | Označuje, jestli je účet zakázaný nebo povolený. |
| Platnost účtu vypršela | Datum vypršení platnosti účtu |
| Změna času vypršení platnosti účtu | Změňte na datum vypršení platnosti účtu. |
| Účet uzamčený se změnil | Změní nastavení zámku účtu. |
| Heslo účtu se změnilo | Uživatel si změnil heslo. |
| Vypršela platnost hesla účtu | Vypršela platnost hesla uživatele. |
| Heslo účtu se nikdy nevyprší | Heslo uživatele se změnilo tak, aby nikdy nevyprší platnost. |
| Heslo účtu se nevyžaduje. | Uživatelský účet byl změněn tak, aby umožňoval přihlášení pomocí prázdného hesla. |
| Změna čipové karty účtu | Změny účtu, které vyžadují, aby se uživatelé přihlásili k zařízení pomocí čipové karty. |
| Změnily se podporované typy šifrování účtu. | Byly změněny podporované typy šifrování Kerberos (typy: Des, AES 129, AES 256). |
| Změna odemknutí účtu | Změny nastavení odemknutí účtu |
| Změna názvu hlavního názvu uživatele (UPN) účtu | Hlavní název uživatele byl změněn. |
| Členství ve skupině se změnilo | Uživatel byl přidán nebo odebrán, do nebo ze skupiny, jiným uživatelem nebo sám. |
| Změna pošty uživatele | Atribut e-mailu uživatelů se změnil. |
| Změnil se správce uživatelů. | Atribut správce uživatele byl změněn. |
| Změna telefonního čísla uživatele | Atribut telefonního čísla uživatele byl změněn. |
| Změněný uživatelský název | Atribut názvu uživatele byl změněn. |
Monitorované aktivity uživatelů: Operace objektů zabezpečení služby AD
| Monitorovaná aktivita | Popis |
|---|---|
| Vytvořený uživatelský účet | Byl vytvořen uživatelský účet. |
| Vytvořený účet počítače | Účet počítače byl vytvořen. |
| Objekt zabezpečení odstraněný změněn | Účet byl odstraněn/obnoven (uživatel i počítač). |
| Změna zobrazovaného názvu objektu zabezpečení | Zobrazovaný název účtu se změnil z X na Y. |
| Změna názvu objektu zabezpečení | Atribut názvu účtu byl změněn. |
| Změna cesty k objektu zabezpečení | Rozlišující název účtu se změnil z X na Y. |
| Název Sam objektu zabezpečení se změnil | Název SAM se změnil (SAM je přihlašovací jméno používané k podpoře klientů a serverů se staršími verzemi operačního systému). |
Monitorované aktivity uživatelů: Uživatelské operace založené na řadiči domény
| Monitorovaná aktivita | Popis |
|---|---|
| Replikace adresářové služby | Uživatel se pokusil replikovat adresářovou službu. |
| Dotaz DNS | Typ dotazu, který uživatel provedl na řadiči domény (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| Načtení hesla gMSA | Heslo účtu gMSA načetl uživatel. Pokud chcete monitorovat tuto aktivitu, musí se shromáždit událost 4662. Další informace najdete v tématu Konfigurace shromažďování událostí systému Windows. |
| Dotaz LDAP | Uživatel provedl dotaz LDAP. |
| Potenciální laterální pohyb | Byl identifikován laterální pohyb. |
| Spuštění PowerShellu | Uživatel se pokusil vzdáleně spustit metodu PowerShellu. |
| Načtení privátních dat | Uživatel se pokusil/úspěšně dotazovat privátní data pomocí protokolu LSARPC. |
| Vytvoření služby | Uživatel se pokusil vzdáleně vytvořit konkrétní službu pro vzdálený počítač. |
| Výčet relací SMB | Uživatel se pokusil vytvořit výčet všech uživatelů s otevřenými relacemi SMB na řadičích domény. |
| Kopírování souboru SMB | Soubory zkopírované uživatelem pomocí protokolu SMB |
| Dotaz SAMR | Uživatel provedl dotaz SAMR. |
| Plánování úkolů | Uživatel se pokusil vzdáleně naplánovat úlohu X na vzdálený počítač. |
| Spuštění Wmi | Uživatel se pokusil vzdáleně spustit metodu rozhraní WMI. |
Monitorované aktivity uživatelů: Operace přihlášení
Další informace najdete v tématu Podporované typy přihlášení pro IdentityLogonEvents tabulku.
Monitorované aktivity počítače: Účet počítače
| Monitorovaná aktivita | Popis |
|---|---|
| Změna operačního systému počítače | Přejděte na operační systém počítače. |
| SID-History změněno | Změny historie identifikátorů SID počítače |