모니터링된 활동 Microsoft Defender for Identity
Microsoft Defender for Identity organization Active Directory, 네트워크 활동 및 이벤트 활동에서 생성된 정보를 모니터링하여 의심스러운 활동을 검색합니다. 모니터링된 활동 정보를 통해 Defender for Identity를 사용하면 각 잠재적 위협의 유효성을 확인하고 올바르게 심사하고 대응할 수 있습니다.
유효한 위협 또는 진정한 긍정의 경우 Defender for Identity를 사용하면 각 인시던트에 대한 위반 scope 검색하고, 관련된 엔터티를 조사하고, 수정 방법을 결정할 수 있습니다.
Defender for Identity에서 모니터링하는 정보는 활동 형태로 제공됩니다. Defender for Identity는 현재 다음 활동 유형에 대한 모니터링을 지원합니다.
참고
- 이 문서는 모든 Defender for Identity 센서 유형과 관련이 있습니다.
- Defender for Identity 모니터링 활동은 사용자 및 컴퓨터 프로필 페이지에 모두 표시됩니다.
- Defender for Identity 모니터링 활동은 Microsoft Defender XDR 고급 헌팅 페이지에서도 사용할 수 있습니다.
모니터링되는 사용자 활동: 사용자 계정 AD 특성 변경
| 모니터링된 활동 | 설명 |
|---|---|
| 계정 제한 위임 상태 변경됨 | 이제 위임에 대해 계정 상태를 사용하거나 사용하지 않도록 설정되었습니다. |
| 계정 제한 위임 SPN 변경됨 | 제한된 위임은 지정된 서버가 사용자를 대신하여 작동할 수 있는 서비스를 제한합니다. |
| 계정 위임 변경됨 | 계정 위임 설정 변경 |
| 계정 사용 안 함 변경됨 | 계정을 사용하지 않도록 설정했는지 여부를 나타냅니다. |
| 계정이 만료됨 | 계정이 만료되는 날짜입니다. |
| 계정 만료 시간 변경됨 | 계정이 만료되는 날짜로 변경합니다. |
| 계정 잠금 변경됨 | 계정 잠금 설정을 변경합니다. |
| 계정 암호 변경됨 | 사용자가 암호를 변경했습니다. |
| 계정 암호 만료됨 | 사용자의 암호가 만료되었습니다. |
| 계정 암호가 만료되지 않음 변경됨 | 사용자의 암호가 만료되지 않도록 변경되었습니다. |
| 계정 암호가 변경되지 않음 | 빈 암호로 로그인할 수 있도록 사용자 계정이 변경되었습니다. |
| 계정 스마트 카드 필요 변경됨 | 계정을 변경하여 사용자가 스마트 카드 사용하여 디바이스에 로그온하도록 요구합니다. |
| 계정 지원 암호화 유형 변경됨 | Kerberos 지원 암호화 유형이 변경되었습니다(형식: Des, AES 129, AES 256) |
| 계정 잠금 해제가 변경됨 | 계정 잠금 해제 설정 변경 |
| 계정 UPN 이름 변경됨 | 사용자의 원칙 이름이 변경되었습니다. |
| 그룹 멤버 자격 변경됨 | 사용자가 그룹 간, 다른 사용자 또는 자체에 의해 추가/제거되었습니다. |
| 사용자 메일 변경됨 | 사용자 이메일 특성이 변경되었습니다. |
| 사용자 관리자 변경됨 | 사용자의 관리자 특성이 변경되었습니다. |
| 사용자 전화 번호 변경됨 | 사용자의 전화 번호 특성이 변경되었습니다. |
| 사용자 제목이 변경됨 | 사용자의 타이틀 특성이 변경되었습니다. |
모니터링되는 사용자 활동: AD 보안 주체 작업
| 모니터링된 활동 | 설명 |
|---|---|
| 만든 사용자 계정 | 사용자 계정이 생성되었습니다. |
| 컴퓨터 계정 생성됨 | 컴퓨터 계정이 만들어졌습니다. |
| 보안 주체가 삭제됨 변경됨 | 계정이 삭제/복원되었습니다(사용자와 컴퓨터 모두). |
| 보안 주체 표시 이름 변경됨 | 계정 표시 이름이 X에서 Y로 변경되었습니다. |
| 보안 주체 이름 변경됨 | 계정 이름 특성이 변경되었습니다. |
| 보안 주체 경로 변경됨 | 계정 고유 이름이 X에서 Y로 변경되었습니다. |
| 보안 주체 Sam 이름 변경됨 | SAM 이름이 변경되었습니다(SAM은 이전 버전의 운영 체제를 실행하는 클라이언트 및 서버를 지원하는 데 사용되는 로그온 이름입니다). |
모니터링되는 사용자 활동: 도메인 컨트롤러 기반 사용자 작업
| 모니터링된 활동 | 설명 |
|---|---|
| 디렉터리 서비스 복제 | 사용자가 디렉터리 서비스를 복제하려고 했습니다. |
| DNS 쿼리 | 도메인 컨트롤러(AXFR, TXT, MX, NS, SRV, ANY, DNSKEY)에 대해 수행된 쿼리 사용자의 유형입니다. |
| gMSA 암호 검색 | 사용자가 gMSA 계정 암호를 검색했습니다. 이 활동을 모니터링하려면 이벤트 4662를 수집해야 합니다. 자세한 내용은 Windows 이벤트 컬렉션 구성을 참조하세요. |
| LDAP 쿼리 | 사용자가 LDAP 쿼리를 수행했습니다. |
| 잠재적인 횡적 이동 | 횡적 이동이 확인되었습니다. |
| PowerShell 실행 | 사용자가 PowerShell 메서드를 원격으로 실행하려고 했습니다. |
| 프라이빗 데이터 검색 | 사용자가 LSARPC 프로토콜을 사용하여 프라이빗 데이터를 쿼리하려고 시도/성공했습니다. |
| 서비스 만들기 | 사용자가 원격 머신에 대한 특정 서비스를 원격으로 만들려고 했습니다. |
| SMB 세션 열거형 | 사용자가 도메인 컨트롤러에서 열린 SMB 세션을 사용하여 모든 사용자를 열거하려고 했습니다. |
| SMB 파일 복사 | SMB를 사용하여 사용자가 복사한 파일 |
| SAMR 쿼리 | 사용자가 SAMR 쿼리를 수행했습니다. |
| 작업 예약 | 사용자가 원격으로 X 작업을 원격 컴퓨터로 예약하려고 했습니다. |
| Wmi 실행 | 사용자가 원격으로 WMI 메서드를 실행하려고 했습니다. |
모니터링되는 사용자 활동: 로그인 작업
자세한 내용은 테이블에 대해 지원되는 로그온 형식 을 IdentityLogonEvents 참조하세요.
모니터링되는 컴퓨터 작업: 컴퓨터 계정
| 모니터링된 활동 | 설명 |
|---|---|
| 컴퓨터 운영 체제 변경됨 | 컴퓨터 OS로 변경합니다. |
| SID-History 변경됨 | 컴퓨터 SID 기록 변경 |