Microsoft Defender for Identity überwachten Aktivitäten
Microsoft Defender for Identity überwacht Informationen, die aus dem Active Directory Ihrer organization generiert werden, Netzwerkaktivitäten und Ereignisaktivitäten, um verdächtige Aktivitäten zu erkennen. Anhand der überwachten Aktivitätsinformationen kann Defender for Identity Ihnen helfen, die Gültigkeit der einzelnen potenziellen Bedrohungen zu bestimmen und die richtige Selektierung und Reaktion zu ermöglichen.
Im Falle einer gültigen Oder wahr positiven Bedrohung ermöglicht Defender for Identity es Ihnen, den Umfang der Sicherheitsverletzung für jeden Vorfall zu ermitteln, zu untersuchen, welche Entitäten beteiligt sind, und wie sie behoben werden können.
Die von Defender for Identity überwachten Informationen werden in Form von Aktivitäten dargestellt. Defender for Identity unterstützt derzeit die Überwachung der folgenden Aktivitätstypen:
Hinweis
- Dieser Artikel ist für alle Defender for Identity-Sensortypen relevant.
- Von Defender for Identity überwachte Aktivitäten werden sowohl auf der Benutzer- als auch auf der Computerprofilseite angezeigt.
- Von Defender for Identity überwachte Aktivitäten sind auch auf der Seite Erweiterte Suche von Microsoft Defender XDR verfügbar.
Überwachte Benutzeraktivitäten: Ad-Attributänderungen des Benutzerkontos
| Überwachte Aktivität | Beschreibung |
|---|---|
| Status der eingeschränkten Kontodelegierung geändert | Der Kontostatus ist jetzt für die Delegierung aktiviert oder deaktiviert. |
| Geänderte SPNs für die eingeschränkte Kontodelegierung | Die eingeschränkte Delegierung schränkt die Dienste ein, für die der angegebene Server im Namen des Benutzers handeln kann. |
| Kontodelegierung geändert | Änderungen an den Einstellungen für die Kontodelegierung |
| Konto deaktiviert geändert | Gibt an, ob ein Konto deaktiviert oder aktiviert ist. |
| Konto abgelaufen | Datum, an dem das Konto abläuft. |
| Kontoablaufzeit geändert | Ändern Sie in das Datum, an dem das Konto abläuft. |
| Konto gesperrt geändert | Änderungen an den Einstellungen für die Kontosperre. |
| Kontokennwort geändert | Der Benutzer hat sein Kennwort geändert. |
| Kontokennwort abgelaufen | Das Kennwort des Benutzers ist abgelaufen. |
| Kontokennwort läuft nie geändert ab | Das Kennwort des Benutzers wurde so geändert, dass es nie abläuft. |
| Kontokennwort nicht erforderlich geändert | Das Benutzerkonto wurde geändert, um die Anmeldung mit einem leeren Kennwort zu ermöglichen. |
| Konto-Smartcard erforderlich geändert | Kontoänderungen erfordern, dass benutzer sich mit einem intelligenten Karte bei einem Gerät anmelden müssen. |
| Vom Konto unterstützte Verschlüsselungstypen geändert | Von Kerberos unterstützte Verschlüsselungstypen wurden geändert (Typen: Des, AES 129, AES 256) |
| Kontoentsperrung geändert | Änderungen an den Einstellungen für die Kontoentsperrung |
| Konto-UPN-Name geändert | Der Prinzipalname des Benutzers wurde geändert. |
| Gruppenmitgliedschaft geändert | Der Benutzer wurde zu/aus einer Gruppe, von einem anderen Benutzer oder selbst hinzugefügt/entfernt. |
| Benutzer-E-Mail geändert | Das Benutzer-E-Mail-Attribut wurde geändert. |
| Benutzer-Manager geändert | Das Manager-Attribut des Benutzers wurde geändert. |
| Geänderte Benutzertelefonnummer | Das Telefonnummern-Attribut des Benutzers wurde geändert. |
| Benutzertitel geändert | Das Titelattribute des Benutzers wurde geändert. |
Überwachte Benutzeraktivitäten: AD-Sicherheitsprinzipalvorgänge
| Überwachte Aktivität | Beschreibung |
|---|---|
| Benutzerkonto erstellt | Benutzerkonto wurde erstellt |
| Computerkonto erstellt | Computerkonto wurde erstellt |
| Sicherheitsprinzipal gelöscht geändert | Das Konto wurde gelöscht/wiederhergestellt (Benutzer und Computer). |
| Anzeigename für Sicherheitsprinzipal geändert | Der Kontoanzeigename wurde von X in Y geändert. |
| Name des Sicherheitsprinzipals geändert | Das Kontonamensattribut wurde geändert. |
| Sicherheitsprinzipalpfad geändert | Account Distinguished name wurde von X in Y geändert. |
| Geänderter Sam-Name des Sicherheitsprinzipals | SAM-Name geändert (SAM ist der Anmeldename, der zur Unterstützung von Clients und Servern verwendet wird, auf denen frühere Versionen des Betriebssystems ausgeführt werden). |
Überwachte Benutzeraktivitäten: Auf Domänencontrollern basierende Benutzervorgänge
| Überwachte Aktivität | Beschreibung |
|---|---|
| Verzeichnisdienstreplikation | Der Benutzer hat versucht, den Verzeichnisdienst zu replizieren. |
| DNS-Abfrage | Typ des Abfragebenutzers, der für den Domänencontroller ausgeführt wird (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| gMSA-Kennwortabruf | Das gMSA-Kontokennwort wurde von einem Benutzer abgerufen. Zum Überwachen dieser Aktivität muss das Ereignis 4662 erfasst werden. Weitere Informationen finden Sie unter Konfigurieren der Windows-Ereignissammlung. |
| LDAP-Abfrage | Der Benutzer hat eine LDAP-Abfrage ausgeführt. |
| Mögliche Seitwärtsbewegung | Eine seitliche Bewegung wurde identifiziert. |
| PowerShell-Ausführung | Der Benutzer hat versucht, eine PowerShell-Methode remote auszuführen. |
| Private Datenabruf | Der Benutzer hat versucht/erfolgreich, private Daten mithilfe des LSARPC-Protokolls abzufragen. |
| Diensterstellung | Der Benutzer hat versucht, einen bestimmten Dienst remote auf einem Remotecomputer zu erstellen. |
| SMB-Sitzungsenumeration | Der Benutzer hat versucht, alle Benutzer mit geöffneten SMB-Sitzungen auf den Domänencontrollern aufzulisten. |
| SMB-Dateikopie | Vom Benutzer kopierte Dateien mit SMB |
| SAMR-Abfrage | Der Benutzer hat eine SAMR-Abfrage ausgeführt. |
| Aufgabenplanung | Der Benutzer hat versucht, den X-Task remote auf einem Remotecomputer zu planen. |
| Wmi-Ausführung | Der Benutzer hat versucht, eine WMI-Methode remote auszuführen. |
Überwachte Benutzeraktivitäten: Anmeldevorgänge
Weitere Informationen finden Sie unter Unterstützte Anmeldetypen für die IdentityLogonEvents Tabelle.
Überwachte Computeraktivitäten: Computerkonto
| Überwachte Aktivität | Beschreibung |
|---|---|
| Computerbetriebssystem geändert | Wechseln Sie zum Betriebssystem des Computers. |
| SID-History geändert | Änderungen am SID-Verlauf des Computers |