Microsoft Defender for Identity overvågede aktiviteter
Microsoft Defender for Identity overvåger oplysninger, der genereres fra organisationens Active Directory, netværksaktiviteter og hændelsesaktiviteter, for at registrere mistænkelig aktivitet. De overvågede aktivitetsoplysninger gør det muligt for Defender for Identity at hjælpe dig med at fastslå gyldigheden af hver potentiel trussel og korrekt triage og reagere.
I tilfælde af en gyldig trussel eller sand positiv giver Defender for Identity dig mulighed for at finde omfanget af sikkerhedsbrud for hver hændelse, undersøge, hvilke enheder der er involveret, og bestemme, hvordan du kan afhjælpe dem.
De oplysninger, der overvåges af Defender for Identity, præsenteres i form af aktiviteter. Defender for Identity understøtter i øjeblikket overvågning af følgende aktivitetstyper:
Bemærk!
- Denne artikel er relevant for alle Defender for Identity-sensortyper.
- Aktiviteter, der overvåges af Defender for Identity, vises på både bruger- og computerprofilsiden.
- Aktiviteter, der overvåges af Defender for Identity, er også tilgængelige på siden Avanceret jagt på Microsoft Defender XDR.
Tip
Du kan finde detaljerede oplysninger om alle understøttede hændelsestyper (ActionTypeværdier) i tabeller, der er relateret til avanceret jagtidentitet, ved at bruge den indbyggede skemareference, der er tilgængelig i Microsoft Defender XDR.
Overvågede brugeraktiviteter: Ændringer i AD-attributten for brugerkonto
| Overvåget aktivitet | Beskrivelse |
|---|---|
| Kontoens begrænsede delegeringstilstand blev ændret | Kontotilstanden er nu aktiveret eller deaktiveret for delegering. |
| SPN'er for begrænset kontodelegering er ændret | Begrænset delegering begrænser de tjenester, som den angivne server kan handle på vegne af brugeren. |
| Kontodelegering er ændret | Ændringer af indstillingerne for kontodelegering. |
| Kontoen er deaktiveret og ændret | Angiver, om en konto er deaktiveret eller aktiveret. |
| Kontoen er udløbet | Den dato, hvor kontoen udløber. |
| Udløbsdatoen for kontoen blev ændret | Skift til den dato, hvor kontoen udløber. |
| Kontoen er låst og ændret | Ændringer af indstillingerne for kontolås. |
| Adgangskoden til kontoen er ændret | Brugeren har ændret sin adgangskode. |
| Adgangskoden til kontoen er udløbet | Brugerens adgangskode er udløbet. |
| Adgangskoden til kontoen udløber aldrig, når den er ændret | Brugerens adgangskode blev ændret til aldrig at udløbe. |
| Adgangskoden til kontoen skal ikke ændres | Brugerkontoen blev ændret for at tillade logon med en tom adgangskode. |
| Der kræves et chipkort til kontoen ændret | Kontoændringer for at kræve, at brugerne logger på en enhed ved hjælp af et chipkort. |
| Ændrede krypteringstyper, der understøttes af kontoen | Kerberos-understøttede krypteringstyper blev ændret (typer: Des, AES 129, AES 256). |
| Kontolåsning er ændret | Ændringer af indstillingerne for kontolåsning. |
| Konto-UPN-navn er ændret | Brugerens hovednavn blev ændret. |
| Gruppemedlemskab er ændret | Brugeren blev tilføjet/fjernet, til/fra en gruppe, af en anden bruger eller af sig selv. |
| Brugermail ændret | Brugernes mailattribut blev ændret. |
| Brugerstyringen er ændret | Brugerens lederattribut blev ændret. |
| Brugerens telefonnummer er ændret | Brugerens attribut for telefonnummer blev ændret. |
| Brugertitel er ændret | Brugerens titelattribut blev ændret. |
Overvågede brugeraktiviteter: AD-sikkerhedsprincipalhandlinger
| Overvåget aktivitet | Beskrivelse |
|---|---|
| Brugerkontoen er oprettet | Brugerkontoen blev oprettet. |
| Computerkonto oprettet | Computerkontoen blev oprettet. |
| Sikkerhedsprincipalen er blevet slettet | Kontoen blev slettet/gendannet (både bruger og computer). |
| Sikkerhedsprincipalens viste navn er ændret | Det viste navn for kontoen blev ændret fra X til Y. |
| Sikkerhedsprincipalnavnet er ændret | Attributten Kontonavn blev ændret. |
| Stien til sikkerhedsprincipalen er ændret | Konto entydigt navn blev ændret fra X til Y. |
| Sam-navnet på sikkerhedsprincipalen er ændret | SAM-navnet er ændret (SAM er det logonnavn, der bruges til at understøtte klienter og servere, der kører tidligere versioner af operativsystemet). |
Overvågede brugeraktiviteter: Domænecontrollerbaserede brugerhandlinger
| Overvåget aktivitet | Beskrivelse |
|---|---|
| Katalogtjenestereplikering | Brugeren forsøgte at replikere katalogtjenesten. |
| DNS-forespørgsel | Den type forespørgselsbruger, der blev udført mod domænecontrolleren (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| gMSA Hentning af adgangskode | gMSA-kontoens adgangskode blev hentet af en bruger. Hvis du vil overvåge denne aktivitet, skal hændelse 4662 indsamles. Du kan få flere oplysninger under Konfigurer Windows-hændelsessamling. |
| LDAP-forespørgsel | Brugeren udførte en LDAP-forespørgsel. |
| Potentiel tværgående bevægelse | En tværgående bevægelse blev identificeret. |
| PowerShell-udførelse | Brugeren forsøgte at udføre en PowerShell-metode eksternt. |
| Hentning af private data | Brugeren forsøgte/lykkedes at forespørge private data ved hjælp af LSARPC-protokollen. |
| Oprettelse af tjeneste | Brugeren forsøgte at fjern oprette en bestemt tjeneste til en fjerncomputer. |
| Optælling af SMB-session | Brugeren forsøgte at optælle alle brugere med åbne SMB-sessioner på domænecontrollerne. |
| Kopi af SMB-fil | Brugeren kopierede filer ved hjælp af SMB. |
| SAMR-forespørgsel | Brugeren udførte en SAMR-forespørgsel. |
| Opgaveplanlægning | Brugeren forsøgte at fjernplanlæg X-opgave til en fjerncomputer. |
| Wmi-udførelse | Brugeren forsøgte at udføre en WMI-metode eksternt. |
Overvågede brugeraktiviteter: Logonhandlinger
Du kan få flere oplysninger under Understøttede logontyper til tabellen IdentityLogonEvents .
Overvågede maskinaktiviteter: Computerkonto
| Overvåget aktivitet | Beskrivelse |
|---|---|
| Computeroperativsystemet er ændret | Skift til computerens operativsystem. |
| SID-History ændret | Ændringer af computerens SID-historik. |