監視対象アクティビティのMicrosoft Defender for Identity
Microsoft Defender for Identityは、organizationの Active Directory、ネットワーク アクティビティ、イベント アクティビティから生成された情報を監視して、疑わしいアクティビティを検出します。 監視されるアクティビティ情報により、Defender for Identity は、潜在的な各脅威の有効性を判断し、正しくトリアージして対応するのに役立ちます。
有効な脅威 ( 真陽性) の場合、Defender for Identity を使用すると、インシデントごとの侵害の範囲を検出し、関連するエンティティを調査し、修復方法を決定できます。
Defender for Identity によって監視される情報は、アクティビティの形式で表示されます。 Defender for Identity では現在、次のアクティビティの種類の監視がサポートされています。
注:
- この記事は、すべての Defender for Identity センサーの種類に関連します。
- Defender for Identity で監視されるアクティビティは、ユーザープロファイルページとマシンプロファイルページの両方に表示されます。
- Defender for Identity で監視されるアクティビティは、Microsoft Defender XDRの [高度なハンティング] ページでも利用できます。
監視対象のユーザー アクティビティ: ユーザー アカウント AD 属性の変更
| 監視対象のアクティビティ | 説明 |
|---|---|
| アカウント制約付き委任の状態が変更されました | アカウントの状態が委任に対して有効または無効になりました。 |
| アカウント制約付き委任 SPN の変更 | 制約付き委任は、指定されたサーバーがユーザーの代わりに動作できるサービスを制限します。 |
| アカウント委任の変更 | アカウント委任設定の変更 |
| アカウントが無効に変更されました | アカウントが無効か有効かを示します。 |
| アカウントの有効期限が切れています | アカウントの有効期限が切れる日付。 |
| アカウントの有効期限の変更 | アカウントの有効期限が切れる日付に変更します。 |
| アカウントロックの変更 | アカウント ロック設定に対する変更。 |
| アカウントパスワードの変更 | ユーザーが自分のパスワードを変更しました。 |
| アカウント パスワードの有効期限が切れています | ユーザーのパスワードの有効期限が切れています。 |
| アカウント パスワードの有効期限が変更されない | ユーザーのパスワードが期限切れにならないように変更されました。 |
| アカウント パスワードは必要ありません変更 | 空白のパスワードでログインできるようにユーザー アカウントが変更されました。 |
| アカウント スマートカード必須の変更 | スマート カードを使用してユーザーがデバイスにログオンすることを要求するアカウントの変更。 |
| アカウントでサポートされている暗号化の種類が変更されました | Kerberos でサポートされている暗号化の種類が変更されました (種類: Des、AES 129、AES 256) |
| アカウントのロック解除が変更されました | アカウントのロック解除設定の変更 |
| アカウント UPN 名が変更されました | ユーザーの原則名が変更されました。 |
| グループ メンバーシップの変更 | ユーザーは、グループ、別のユーザー、または自分自身によって追加または削除されました。 |
| ユーザー メールの変更 | ユーザーの電子メール属性が変更されました。 |
| ユーザー マネージャーの変更 | ユーザーの manager 属性が変更されました。 |
| ユーザー電話番号の変更 | ユーザーの電話番号属性が変更されました。 |
| ユーザー タイトルの変更 | ユーザーの title 属性が変更されました。 |
監視対象のユーザー アクティビティ: AD セキュリティ プリンシパル操作
| 監視対象のアクティビティ | 説明 |
|---|---|
| 作成されたユーザー アカウント | ユーザー アカウントが作成されました |
| 作成されたコンピューター アカウント | コンピューター アカウントが作成されました |
| セキュリティ プリンシパルが削除されました | アカウントが削除または復元されました (ユーザーとコンピューターの両方)。 |
| セキュリティ プリンシパルの表示名が変更されました | アカウントの表示名が X から Y に変更されました。 |
| セキュリティ プリンシパル名の変更 | アカウント名属性が変更されました。 |
| セキュリティ プリンシパル パスの変更 | アカウント識別名が X から Y に変更されました。 |
| セキュリティ プリンシパルの Sam 名が変更されました | SAM 名が変更されました (SAM は、以前のバージョンのオペレーティング システムを実行しているクライアントとサーバーをサポートするために使用されるログオン名です)。 |
監視対象ユーザー アクティビティ: ドメイン コントローラー ベースのユーザー操作
| 監視対象のアクティビティ | 説明 |
|---|---|
| ディレクトリ サービス レプリケーション | ユーザーがディレクトリ サービスをレプリケートしようとしました。 |
| DNS クエリ | ドメイン コントローラー (AXFR、TXT、 MX、 NS、 SRV、 ANY、 DNSKEY) に対して実行されたクエリ ユーザーの種類。 |
| gMSA パスワード取得 | gMSA アカウントのパスワードがユーザーによって取得されました。 このアクティビティを監視するには、イベント 4662 を収集する必要があります。 詳細については、「 Windows イベント コレクションの構成」を参照してください。 |
| LDAP クエリ | ユーザーが LDAP クエリを実行しました。 |
| 潜在的な横移動 | 横移動が確認されました。 |
| PowerShell の実行 | ユーザーが PowerShell メソッドをリモートで実行しようとしました。 |
| プライベート データ取得 | ユーザーが LSARPC プロトコルを使用してプライベート データのクエリを実行しようとしました。成功しました。 |
| サービスの作成 | ユーザーがリモート コンピューターに対して特定のサービスをリモートで作成しようとしました。 |
| SMB セッション列挙 | ユーザーは、ドメイン コントローラーで開いている SMB セッションを持つすべてのユーザーを列挙しようとしました。 |
| SMB ファイルのコピー | SMB を使用してファイルをコピーしたユーザー |
| SAMR クエリ | ユーザーが SAMR クエリを実行しました。 |
| タスク スケジュール | ユーザーがリモート コンピューターに X タスクをリモートでスケジュールしようとしました。 |
| Wmi の実行 | ユーザーが WMI メソッドをリモートで実行しようとしました。 |
監視対象のユーザー アクティビティ: ログイン操作
詳細については、「IdentityLogonEvents テーブルでサポートされているログオンの種類」を参照してください。
監視対象のマシン アクティビティ: マシン アカウント
| 監視対象のアクティビティ | 説明 |
|---|---|
| コンピューター オペレーティング システムの変更 | コンピューター OS に変更します。 |
| 変更 SID-History | コンピューター SID の履歴に対する変更 |