Microsoft Defender pour Identity activités surveillées
Microsoft Defender pour Identity surveille les informations générées à partir d’Active Directory, des activités réseau et des activités d’événements de votre organization pour détecter les activités suspectes. Les informations d’activité supervisées permettent à Defender pour Identity de vous aider à déterminer la validité de chaque menace potentielle, ainsi qu’à trier et à répondre correctement.
En cas de menace valide ou de vrai positif, Defender pour Identity vous permet de découvrir l’étendue de la violation pour chaque incident, d’examiner les entités impliquées et de déterminer comment y remédier.
Les informations surveillées par Defender pour Identity sont présentées sous forme d’activités. Defender pour Identity prend actuellement en charge la surveillance des types d’activités suivants :
Remarque
- Cet article s’applique à tous les types de capteurs Defender pour Identity.
- Les activités surveillées de Defender pour Identity s’affichent à la fois sur la page de profil de l’utilisateur et de l’ordinateur.
- Les activités surveillées de Defender pour Identity sont également disponibles dans la page Repérage avancé de Microsoft Defender XDR.
Activités des utilisateurs supervisées : Modifications des attributs AD du compte d’utilisateur
| Activité supervisée | Description |
|---|---|
| Modification de l’état de la délégation contrainte du compte | L’état du compte est désormais activé ou désactivé pour la délégation. |
| Noms de principal des services de délégation de compte contraint ont été modifiés | La délégation contrainte limite les services sur lesquels le serveur spécifié peut agir pour le compte de l’utilisateur. |
| Délégation de compte modifiée | Modifications apportées aux paramètres de délégation de compte |
| Compte désactivé modifié | Indique si un compte est désactivé ou activé. |
| Compte expiré | Date d’expiration du compte. |
| Heure d’expiration du compte modifiée | Remplacez par la date d’expiration du compte. |
| Compte verrouillé modifié | Modifications apportées aux paramètres de verrouillage de compte. |
| Mot de passe du compte modifié | L’utilisateur a modifié son mot de passe. |
| Mot de passe du compte expiré | Le mot de passe de l’utilisateur a expiré. |
| Le mot de passe du compte n’expire jamais modifié | Le mot de passe de l’utilisateur a été modifié pour ne jamais expirer. |
| Mot de passe du compte non obligatoire modifié | Le compte d’utilisateur a été modifié pour autoriser la connexion avec un mot de passe vide. |
| Carte à puce de compte obligatoire modifiée | Modifications de compte pour obliger les utilisateurs à se connecter à un appareil à l’aide d’un carte intelligent. |
| Types de chiffrement pris en charge par le compte modifiés | Les types de chiffrement pris en charge par Kerberos ont été modifiés (types : Des, AES 129, AES 256) |
| Déverrouillage de compte modifié | Modifications apportées aux paramètres de déverrouillage du compte |
| Nom de l’UPN du compte modifié | Le nom principal de l’utilisateur a été modifié. |
| Modification de l’appartenance au groupe | L’utilisateur a été ajouté/supprimé, dans/à partir d’un groupe, par un autre utilisateur ou par lui-même. |
| Courrier utilisateur modifié | L’attribut d’e-mail des utilisateurs a été modifié. |
| Gestionnaire d’utilisateurs modifié | L’attribut de gestionnaire de l’utilisateur a été modifié. |
| Numéro de téléphone de l’utilisateur modifié | L’attribut de numéro de téléphone de l’utilisateur a été modifié. |
| Titre de l’utilisateur modifié | L’attribut de titre de l’utilisateur a été modifié. |
Activités des utilisateurs supervisées : opérations du principal de sécurité AD
| Activité supervisée | Description |
|---|---|
| Compte d’utilisateur créé | Un compte d’utilisateur a été créé |
| Compte d’ordinateur créé | Le compte d’ordinateur a été créé |
| Principal de sécurité supprimé modifié | Le compte a été supprimé/restauré (utilisateur et ordinateur). |
| Nom complet du principal de sécurité modifié | Le nom d’affichage du compte est passé de X à Y. |
| Nom du principal de sécurité modifié | L’attribut de nom de compte a été modifié. |
| Chemin du principal de sécurité modifié | Le nom unique du compte est passé de X à Y. |
| Nom Sam du principal de sécurité modifié | Nom SAM modifié (SAM est le nom d’ouverture de session utilisé pour prendre en charge les clients et les serveurs exécutant des versions antérieures du système d’exploitation). |
Activités des utilisateurs supervisées : opérations utilisateur basées sur un contrôleur de domaine
| Activité supervisée | Description |
|---|---|
| Réplication du service d’annuaire | L’utilisateur a essayé de répliquer le service d’annuaire. |
| Requête DNS | Type d’utilisateur de requête effectué sur le contrôleur de domaine (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| Récupération du mot de passe gMSA | Le mot de passe du compte gMSA a été récupéré par un utilisateur. Pour surveiller cette activité, l’événement 4662 doit être collecté. Pour plus d’informations, consultez Configurer la collecte d’événements Windows. |
| Requête LDAP | L’utilisateur a effectué une requête LDAP. |
| Mouvement latéral potentiel | Un mouvement latéral a été identifié. |
| Exécution de PowerShell | L’utilisateur a tenté d’exécuter à distance une méthode PowerShell. |
| Récupération de données privées | L’utilisateur a tenté/réussi à interroger des données privées à l’aide du protocole LSARPC. |
| Création de service | L’utilisateur a tenté de créer à distance un service spécifique sur un ordinateur distant. |
| Énumération de session SMB | L’utilisateur a tenté d’énumérer tous les utilisateurs avec des sessions SMB ouvertes sur les contrôleurs de domaine. |
| Copie de fichiers SMB | Fichiers copiés par l’utilisateur à l’aide de SMB |
| Requête SAMR | L’utilisateur a effectué une requête SAMR. |
| Planification des tâches | L’utilisateur a essayé de planifier À distance une tâche X sur un ordinateur distant. |
| Exécution de Wmi | L’utilisateur a tenté d’exécuter à distance une méthode WMI. |
Activités des utilisateurs supervisées : opérations de connexion
Pour plus d’informations, consultez Types d’ouverture de session pris en charge pour la IdentityLogonEvents table.
Activités de l’ordinateur supervisé : compte d’ordinateur
| Activité supervisée | Description |
|---|---|
| Système d’exploitation de l’ordinateur modifié | Passez au système d’exploitation de l’ordinateur. |
| SID-History modifié | Modifications apportées à l’historique sid de l’ordinateur |