Microsoft Defender per identità attività monitorate
Microsoft Defender per identità monitora le informazioni generate da Active Directory dell'organizzazione, le attività di rete e le attività degli eventi per rilevare attività sospette. Le informazioni sulle attività monitorate consentono a Defender per identità di determinare la validità di ogni potenziale minaccia e valutare e rispondere correttamente.
Nel caso di una minaccia valida o di un vero positivo, Defender per identità consente di individuare l'ambito della violazione per ogni evento imprevisto, analizzare le entità coinvolte e determinare come risolverle.
Le informazioni monitorate da Defender per identità vengono presentate sotto forma di attività. Defender per identità supporta attualmente il monitoraggio dei tipi di attività seguenti:
Nota
- Questo articolo è pertinente per tutti i tipi di sensori Defender per identità.
- Le attività monitorate da Defender per identità vengono visualizzate sia nella pagina del profilo utente che nella pagina del profilo del computer.
- Le attività monitorate da Defender per identità sono disponibili anche nella pagina Ricerca avanzata di Microsoft Defender XDR.
Attività utente monitorate: modifiche all'attributo AD dell'account utente
| Attività monitorata | Descrizione |
|---|---|
| Stato della delega vincolata dell'account modificato | Lo stato dell'account è ora abilitato o disabilitato per la delega. |
| Nomi SPN di delega vincolata dell'account modificati | La delega vincolata limita i servizi a cui il server specificato può agire per conto dell'utente. |
| Delega dell'account modificata | Modifiche alle impostazioni di delega dell'account |
| Account disabilitato modificato | Indica se un account è disabilitato o abilitato. |
| Account scaduto | Data di scadenza dell'account. |
| Ora di scadenza dell'account modificata | Passare alla data di scadenza dell'account. |
| Account bloccato modificato | Modifiche alle impostazioni di blocco dell'account. |
| Password dell'account modificata | L'utente ha modificato la password. |
| Password dell'account scaduta | La password dell'utente è scaduta. |
| La password dell'account non scade mai modificata | La password dell'utente è stata modificata in modo da non scadere mai. |
| Password dell'account non richiesta modificata | L'account utente è stato modificato per consentire l'accesso con una password vuota. |
| Modifica della smart card dell'account | Modifiche dell'account per richiedere agli utenti di accedere a un dispositivo usando una smart card. |
| Tipi di crittografia supportati dall'account modificati | I tipi di crittografia supportati da Kerberos sono stati modificati (tipi: Des, AES 129, AES 256) |
| Sblocco account modificato | Modifiche alle impostazioni di sblocco dell'account |
| Nome UPN account modificato | Il nome principale dell'utente è stato modificato. |
| Appartenenza al gruppo modificata | L'utente è stato aggiunto/rimosso, da/verso un gruppo, da un altro utente o da se stesso. |
| Messaggio utente modificato | L'attributo di posta elettronica degli utenti è stato modificato. |
| User Manager modificato | L'attributo di gestione dell'utente è stato modificato. |
| Numero di telefono utente modificato | L'attributo del numero di telefono dell'utente è stato modificato. |
| Titolo utente modificato | L'attributo del titolo dell'utente è stato modificato. |
Attività utente monitorate: operazioni dell'entità di sicurezza di Active Directory
| Attività monitorata | Descrizione |
|---|---|
| Account utente creato | Account utente creato |
| Account computer creato | Account computer creato |
| Entità di sicurezza eliminata modificata | L'account è stato eliminato/ripristinato (sia utente che computer). |
| Nome visualizzato dell'entità di sicurezza modificato | Il nome visualizzato dell'account è stato modificato da X a Y. |
| Nome dell'entità di sicurezza modificato | Attributo nome account modificato. |
| Percorso dell'entità di sicurezza modificato | Il nome distinto dell'account è stato modificato da X a Y. |
| Nome sam dell'entità di sicurezza modificato | Nome SAM modificato (SAM è il nome di accesso usato per supportare client e server che eseguono versioni precedenti del sistema operativo). |
Attività utente monitorate: operazioni utente basate su controller di dominio
| Attività monitorata | Descrizione |
|---|---|
| Replica del servizio directory | L'utente ha provato a replicare il servizio directory. |
| DNS Query | Tipo di utente di query eseguito sul controller di dominio (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| gMSA Recupero password | La password dell'account gMSA è stata recuperata da un utente. Per monitorare questa attività, è necessario raccogliere l'evento 4662. Per altre informazioni, vedere Configurare la raccolta di eventi di Windows. |
| LDAP Query | L'utente ha eseguito una query LDAP. |
| Potenziale movimento laterale | È stato identificato un movimento laterale. |
| Esecuzione di PowerShell | L'utente ha tentato di eseguire in remoto un metodo PowerShell. |
| Recupero dati privati | L'utente ha tentato/completato la query sui dati privati usando il protocollo LSARPC. |
| Creazione del servizio | L'utente ha tentato di creare in remoto un servizio specifico in un computer remoto. |
| Enumerazione della sessione SMB | L'utente ha tentato di enumerare tutti gli utenti con sessioni SMB aperte nei controller di dominio. |
| Copia file SMB | File copiati dall'utente con SMB |
| SAMR Query | L'utente ha eseguito una query SAMR. |
| Pianificazione attività | L'utente ha tentato di pianificare in remoto l'attività X in un computer remoto. |
| Esecuzione WMI | L'utente ha tentato di eseguire in remoto un metodo WMI. |
Attività utente monitorate: operazioni di accesso
Per altre informazioni, vedere Tipi di accesso supportati per la IdentityLogonEvents tabella.
Attività del computer monitorate: Account computer
| Attività monitorata | Descrizione |
|---|---|
| Sistema operativo del computer modificato | Passare al sistema operativo del computer. |
| SID-History modificato | Modifiche alla cronologia del SID del computer |