Actividades supervisadas de Microsoft Defender for Identity
Microsoft Defender for Identity supervisa la información generada a partir de Active Directory de su organización, actividades de red y actividades de eventos para detectar actividades sospechosas. La información de actividad supervisada permite a Defender for Identity ayudarlo a determinar la validez de cada amenaza potencial y evaluar y responder correctamente.
En el caso de una amenaza válida o un verdadero positivo, Defender for Identity permite detectar el ámbito de la infracción de cada incidente, investigar qué entidades están implicadas y determinar cómo corregirlas.
La información supervisada por Defender for Identity se presenta en forma de actividades. Defender for Identity admite actualmente la supervisión de los siguientes tipos de actividad:
Nota:
- Este artículo es relevante para todos los tipos de sensor de Defender for Identity.
- Las actividades supervisadas de Defender for Identity aparecen en la página de perfil de usuario y máquina.
- Las actividades supervisadas de Defender for Identity también están disponibles en la página Búsqueda avanzada fr Microsoft Defender XDR.
Actividades de usuario supervisadas: cambios en el atributo de AD de la cuenta de usuario
Actividades supervisadas | Descripción |
---|---|
Estado de delegación restringido de cuenta cambiado | El estado de la cuenta ahora está habilitado o deshabilitado para la delegación. |
SPN de delegación restringida de cuenta cambiado | La delegación restringida limita los servicios en los que puede actuar un servidor determinado en nombre de un usuario. |
Delegación de cuenta cambiada | Cambios en la configuración de delegación de cuentas |
Cuenta deshabilitada modificada | Indica si una cuenta está habilitada o deshabilitada. |
Cuenta expirada | Fecha en que expira la cuenta. |
Hora de expiración de la cuenta cambiada | Cambie a la fecha en que expira la cuenta. |
Cuenta bloqueada cambiada | Cambios en la configuración de bloqueo de la cuenta. |
Contraseña de la cuenta cambiada | El usuario cambió su contraseña. |
La contraseña de la cuenta ha expirado | La contraseña del usuario ha expirado. |
Contraseña sin vencimiento cambiada | La contraseña del usuario ha cambiado para que nunca expire. |
No se requiere contraseña de cuenta modificada | Se cambió la cuenta de usuario para permitir el inicio de sesión con una contraseña en blanco. |
Tarjeta inteligente de cuenta requerida modificada | Cambios en la cuenta para requerir que los usuarios inicien sesión en un dispositivo mediante una tarjeta inteligente. |
Se cambiaron los tipos de cifrado admitidos por la cuenta | Se cambiaron los tipos de cifrado admitidos por Kerberos (tipos: Des, AES 129, AES 256) |
Desbloqueo de cuenta cambiado | Cambios en la configuración de desbloqueo de la cuenta |
Nombre de UPN de cuenta cambiado | Se cambió el nombre principal del usuario. |
Pertenencia a grupos cambiada | El usuario se agregó/quitó, a/desde un grupo, por otro usuario o por sí mismo. |
Correo de usuario cambiado | Se cambió el atributo de correo electrónico de los usuarios. |
Administrador de usuarios cambiado | Se cambió el atributo de administrador del usuario. |
Número de teléfono de usuario cambiado | Se cambió el atributo de número de teléfono del usuario. |
Título del usuario cambiado | Se cambió el atributo del título del usuario. |
Actividades de usuario supervisadas: operaciones de entidad de seguridad de AD
Actividades supervisadas | Descripción |
---|---|
Cuenta de usuario creada | Se creó una cuenta de usuario |
Cuenta de equipo creada | Se creó la cuenta de equipo |
Eliminación de la entidad de seguridad cambiada | La cuenta se eliminó/restauró (tanto el usuario como el equipo). |
Se ha cambiado el nombre para mostrar de la entidad de seguridad | El nombre para mostrar de la cuenta se cambió de X a Y. |
Nombre de entidad de seguridad cambiado | Se cambió el atributo de nombre de cuenta. |
Ruta de acceso de la entidad de seguridad cambiada | El nombre distintivo de la cuenta se cambió de X a Y. |
Nombre Sam de la entidad de seguridad cambiado | El nombre de SAM cambió (SAM es el nombre de inicio de sesión que se usa para admitir clientes y servidores que ejecutan versiones anteriores de un sistema operativo). |
Actividades de usuario supervisadas: operaciones de usuario basadas en controlador de dominio
Actividades supervisadas | Descripción |
---|---|
Replicación de servicio de directorio | El usuario intentó replicar el servicio de directorio. |
Consulta DNS | Tipo de consulta realizada por el usuario en el controlador de dominio (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
Recuperación de contraseñas de gMSA | Un usuario recuperó la contraseña de la cuenta de gMSA. Para supervisar esta actividad, se debe recopilar el evento 4662. Para más información, consulte Configuración de colecciones de Windows Event. |
Consulta LDAP | El usuario realizó una consulta LDAP. |
Movimiento lateral potencial | Se identificó un movimiento lateral. |
Ejecución de PowerShell | El usuario intentó ejecutar de forma remota un método de PowerShell. |
Recuperación de datos privados | El usuario intentó/realizó correctamente la consulta de datos privados mediante el protocolo LSARPC. |
Creación de servicios | El usuario intentó crear de forma remota un servicio específico en una máquina remota. |
Enumeración de sesiones SMB | El usuario intentó enumerar todos los usuarios con sesiones SMB abiertas en los controladores de dominio. |
Copia de archivos SMB | Archivos copiados por el usuario mediante SMB |
Consulta SAMR | El usuario realizó una consulta SAMR. |
Programación de tareas | El usuario intentó programar de forma remota la tarea X en una máquina remota. |
Ejecución de Wmi | El usuario intentó ejecutar de forma remota un método WMI. |
Actividades de usuario supervisadas: operaciones de inicio de sesión
Para obtener más información, consulte Tipos de inicio de sesión admitidos para la tabla IdentityLogonEvents
.
Actividades de máquina supervisadas: cuenta de máquina
Actividades supervisadas | Descripción |
---|---|
Sistema operativo del equipo cambiado | Cambio en al sistema operativo del equipo. |
Historial de SID cambiado | Cambios en el historial de SID del equipo |