Microsoft Defender for Identity actividades supervisadas
Microsoft Defender for Identity supervisa la información generada a partir de Active Directory de la organización, las actividades de red y las actividades de eventos para detectar actividades sospechosas. La información de actividad supervisada permite que Defender for Identity le ayude a determinar la validez de cada amenaza potencial y evaluar y responder correctamente.
En el caso de una amenaza válida o verdaderamente positiva, Defender for Identity le permite detectar el ámbito de la infracción para cada incidente, investigar qué entidades están implicadas y determinar cómo corregirlas.
La información supervisada por Defender for Identity se presenta en forma de actividades. Defender for Identity admite actualmente la supervisión de los siguientes tipos de actividad:
Nota:
- Este artículo es relevante para todos los tipos de sensor de Defender for Identity.
- Las actividades supervisadas de Defender for Identity aparecen en la página de perfil de usuario y de máquina.
- Las actividades supervisadas de Defender for Identity también están disponibles en la página Búsqueda avanzada de Microsoft Defender XDR.
Sugerencia
Para obtener información detallada sobre todos los tipos de eventos admitidos (ActionTypevalores) en las tablas relacionadas con la identidad de búsqueda avanzada, use la referencia de esquema integrada disponible en Microsoft Defender XDR.
Actividades de usuario supervisadas: cambios en los atributos de AD de la cuenta de usuario
| Actividad supervisada | Descripción |
|---|---|
| Estado de delegación restringida de la cuenta cambiado | El estado de la cuenta ahora está habilitado o deshabilitado para la delegación. |
| Se han cambiado los SPN de delegación restringida de cuenta | La delegación restringida restringe los servicios a los que el servidor especificado puede actuar en nombre del usuario. |
| Delegación de cuenta cambiada | Cambios en la configuración de delegación de la cuenta. |
| Cuenta deshabilitada modificada | Indica si una cuenta está deshabilitada o habilitada. |
| Cuenta expirada | Fecha de expiración de la cuenta. |
| Tiempo de expiración de la cuenta cambiado | Cambie a la fecha en que expira la cuenta. |
| Cuenta bloqueada modificada | Cambios en la configuración de bloqueo de la cuenta. |
| Contraseña de la cuenta cambiada | El usuario cambió su contraseña. |
| Contraseña de cuenta expirada | La contraseña del usuario ha expirado. |
| La contraseña de la cuenta nunca expira cambiada | La contraseña del usuario ha cambiado para que no expire nunca. |
| No se ha cambiado la contraseña de la cuenta | Se cambió la cuenta de usuario para permitir el inicio de sesión con una contraseña en blanco. |
| Tarjeta inteligente de cuenta requerida modificada | Cambios en la cuenta para requerir que los usuarios inicien sesión en un dispositivo mediante una tarjeta inteligente. |
| Se han cambiado los tipos de cifrado admitidos por la cuenta | Se cambiaron los tipos de cifrado admitidos por Kerberos (tipos: Des, AES 129, AES 256). |
| Se ha cambiado el desbloqueo de la cuenta | Cambios en la configuración de desbloqueo de la cuenta. |
| Se ha cambiado el nombre del UPN de la cuenta | Se cambió el nombre principal del usuario. |
| Pertenencia a grupos cambiada | Otro usuario o por sí mismo agregaron o quitaron al usuario, a o desde un grupo. |
| Correo de usuario cambiado | Se cambió el atributo de correo electrónico de los usuarios. |
| Administrador de usuarios cambiado | Se cambió el atributo de administrador del usuario. |
| Número de teléfono de usuario cambiado | Se cambió el atributo de número de teléfono del usuario. |
| Título de usuario cambiado | Se cambió el atributo title del usuario. |
Actividades de usuario supervisadas: operaciones de entidad de seguridad de AD
| Actividad supervisada | Descripción |
|---|---|
| Cuenta de usuario creada | Se creó la cuenta de usuario. |
| Cuenta de equipo creada | Se creó la cuenta de equipo. |
| Se ha cambiado la entidad de seguridad eliminada | La cuenta se eliminó o restauró (tanto el usuario como el equipo). |
| Nombre para mostrar de la entidad de seguridad cambiado | El nombre para mostrar de la cuenta se ha cambiado de X a Y. |
| Se ha cambiado el nombre de la entidad de seguridad | Se cambió el atributo de nombre de cuenta. |
| Ruta de acceso de la entidad de seguridad cambiada | Se cambió el nombre distintivo de la cuenta de X a Y. |
| Nombre sam de la entidad de seguridad cambiado | Se ha cambiado el nombre sam (SAM es el nombre de inicio de sesión que se usa para admitir clientes y servidores que ejecutan versiones anteriores del sistema operativo). |
Actividades de usuario supervisadas: operaciones de usuario basadas en controlador de dominio
| Actividad supervisada | Descripción |
|---|---|
| Replicación del servicio de directorio | El usuario intentó replicar el servicio de directorio. |
| Consulta DNS | Tipo de usuario de consulta realizado en el controlador de dominio (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| Recuperación de contraseñas de gMSA | Un usuario recuperó la contraseña de la cuenta gMSA. Para supervisar esta actividad, se debe recopilar el evento 4662. Para obtener más información, vea Configurar la colección de eventos de Windows. |
| Consulta LDAP | El usuario realizó una consulta LDAP. |
| Posible movimiento lateral | Se identificó un movimiento lateral. |
| Ejecución de PowerShell | El usuario intentó ejecutar de forma remota un método de PowerShell. |
| Recuperación de datos privados | El usuario intentó o realizó correctamente la consulta de datos privados mediante el protocolo LSARPC. |
| Creación de servicios | El usuario intentó crear de forma remota un servicio específico en una máquina remota. |
| Smb Session (enumeración) | El usuario intentó enumerar todos los usuarios con sesiones SMB abiertas en los controladores de dominio. |
| Copia de archivo SMB | Archivos copiados por el usuario mediante SMB. |
| Consulta SAMR | El usuario realizó una consulta SAMR. |
| Programación de tareas | El usuario intentó programar de forma remota la tarea X en una máquina remota. |
| Ejecución de Wmi | El usuario intentó ejecutar de forma remota un método WMI. |
Actividades de usuario supervisadas: operaciones de inicio de sesión
Para obtener más información, vea Tipos de inicio de sesión admitidos para la IdentityLogonEvents tabla.
Actividades de máquina supervisadas: cuenta de máquina
| Actividad supervisada | Descripción |
|---|---|
| Sistema operativo del equipo cambiado | Cambie al sistema operativo del equipo. |
| SID-History ha cambiado | Cambios en el historial del SID del equipo. |