Compartir a través de


Actividades supervisadas de Microsoft Defender for Identity

Microsoft Defender for Identity supervisa la información generada a partir de Active Directory de su organización, actividades de red y actividades de eventos para detectar actividades sospechosas. La información de actividad supervisada permite a Defender for Identity ayudarlo a determinar la validez de cada amenaza potencial y evaluar y responder correctamente.

En el caso de una amenaza válida o un verdadero positivo, Defender for Identity permite detectar el ámbito de la infracción de cada incidente, investigar qué entidades están implicadas y determinar cómo corregirlas.

La información supervisada por Defender for Identity se presenta en forma de actividades. Defender for Identity admite actualmente la supervisión de los siguientes tipos de actividad:

Nota:

  • Este artículo es relevante para todos los tipos de sensor de Defender for Identity.
  • Las actividades supervisadas de Defender for Identity aparecen en la página de perfil de usuario y máquina.
  • Las actividades supervisadas de Defender for Identity también están disponibles en la página Búsqueda avanzada fr Microsoft Defender XDR.

Actividades de usuario supervisadas: cambios en el atributo de AD de la cuenta de usuario

Actividades supervisadas Descripción
Estado de delegación restringido de cuenta cambiado El estado de la cuenta ahora está habilitado o deshabilitado para la delegación.
SPN de delegación restringida de cuenta cambiado La delegación restringida limita los servicios en los que puede actuar un servidor determinado en nombre de un usuario.
Delegación de cuenta cambiada Cambios en la configuración de delegación de cuentas
Cuenta deshabilitada modificada Indica si una cuenta está habilitada o deshabilitada.
Cuenta expirada Fecha en que expira la cuenta.
Hora de expiración de la cuenta cambiada Cambie a la fecha en que expira la cuenta.
Cuenta bloqueada cambiada Cambios en la configuración de bloqueo de la cuenta.
Contraseña de la cuenta cambiada El usuario cambió su contraseña.
La contraseña de la cuenta ha expirado La contraseña del usuario ha expirado.
Contraseña sin vencimiento cambiada La contraseña del usuario ha cambiado para que nunca expire.
No se requiere contraseña de cuenta modificada Se cambió la cuenta de usuario para permitir el inicio de sesión con una contraseña en blanco.
Tarjeta inteligente de cuenta requerida modificada Cambios en la cuenta para requerir que los usuarios inicien sesión en un dispositivo mediante una tarjeta inteligente.
Se cambiaron los tipos de cifrado admitidos por la cuenta Se cambiaron los tipos de cifrado admitidos por Kerberos (tipos: Des, AES 129, AES 256)
Desbloqueo de cuenta cambiado Cambios en la configuración de desbloqueo de la cuenta
Nombre de UPN de cuenta cambiado Se cambió el nombre principal del usuario.
Pertenencia a grupos cambiada El usuario se agregó/quitó, a/desde un grupo, por otro usuario o por sí mismo.
Correo de usuario cambiado Se cambió el atributo de correo electrónico de los usuarios.
Administrador de usuarios cambiado Se cambió el atributo de administrador del usuario.
Número de teléfono de usuario cambiado Se cambió el atributo de número de teléfono del usuario.
Título del usuario cambiado Se cambió el atributo del título del usuario.

Actividades de usuario supervisadas: operaciones de entidad de seguridad de AD

Actividades supervisadas Descripción
Cuenta de usuario creada Se creó una cuenta de usuario
Cuenta de equipo creada Se creó la cuenta de equipo
Eliminación de la entidad de seguridad cambiada La cuenta se eliminó/restauró (tanto el usuario como el equipo).
Se ha cambiado el nombre para mostrar de la entidad de seguridad El nombre para mostrar de la cuenta se cambió de X a Y.
Nombre de entidad de seguridad cambiado Se cambió el atributo de nombre de cuenta.
Ruta de acceso de la entidad de seguridad cambiada El nombre distintivo de la cuenta se cambió de X a Y.
Nombre Sam de la entidad de seguridad cambiado El nombre de SAM cambió (SAM es el nombre de inicio de sesión que se usa para admitir clientes y servidores que ejecutan versiones anteriores de un sistema operativo).

Actividades de usuario supervisadas: operaciones de usuario basadas en controlador de dominio

Actividades supervisadas Descripción
Replicación de servicio de directorio El usuario intentó replicar el servicio de directorio.
Consulta DNS Tipo de consulta realizada por el usuario en el controlador de dominio (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY).
Recuperación de contraseñas de gMSA Un usuario recuperó la contraseña de la cuenta de gMSA.
Para supervisar esta actividad, se debe recopilar el evento 4662. Para más información, consulte Configuración de colecciones de Windows Event.
Consulta LDAP El usuario realizó una consulta LDAP.
Movimiento lateral potencial Se identificó un movimiento lateral.
Ejecución de PowerShell El usuario intentó ejecutar de forma remota un método de PowerShell.
Recuperación de datos privados El usuario intentó/realizó correctamente la consulta de datos privados mediante el protocolo LSARPC.
Creación de servicios El usuario intentó crear de forma remota un servicio específico en una máquina remota.
Enumeración de sesiones SMB El usuario intentó enumerar todos los usuarios con sesiones SMB abiertas en los controladores de dominio.
Copia de archivos SMB Archivos copiados por el usuario mediante SMB
Consulta SAMR El usuario realizó una consulta SAMR.
Programación de tareas El usuario intentó programar de forma remota la tarea X en una máquina remota.
Ejecución de Wmi El usuario intentó ejecutar de forma remota un método WMI.

Actividades de usuario supervisadas: operaciones de inicio de sesión

Para obtener más información, consulte Tipos de inicio de sesión admitidos para la tabla IdentityLogonEvents.

Actividades de máquina supervisadas: cuenta de máquina

Actividades supervisadas Descripción
Sistema operativo del equipo cambiado Cambio en al sistema operativo del equipo.
Historial de SID cambiado Cambios en el historial de SID del equipo

Consulte también