Microsoft Defender for identitet overvåkede aktiviteter
Microsoft Defender for identitet overvåker informasjon generert fra organisasjonens Active Directory, nettverksaktiviteter og hendelsesaktiviteter for å oppdage mistenkelig aktivitet. Den overvåkede aktivitetsinformasjonen gjør det mulig for Defender for Identity å hjelpe deg med å fastslå gyldigheten av hver potensielle trussel og riktig triage og svare.
Når det gjelder en gyldig trussel, eller sann positiv, gjør Defender for Identity det mulig å oppdage omfanget av bruddet for hver hendelse, undersøke hvilke enheter som er involvert, og finne ut hvordan du utbedrer dem.
Informasjonen som overvåkes av Defender for Identity, presenteres i form av aktiviteter. Defender for Identity støtter for øyeblikket overvåking av følgende aktivitetstyper:
Obs!
- Denne artikkelen er relevant for alle Defender for identitetssensortyper.
- Defender for identitetsovervåkede aktiviteter vises både på bruker- og maskinprofilsiden.
- Defender for identitetsovervåkede aktiviteter er også tilgjengelig på avansert jakt-siden til Microsoft Defender XDR.
Overvåkede brukeraktiviteter: Endringer i AD-attributtet for brukerkonto
| Overvåket aktivitet | Beskrivelse |
|---|---|
| Status for kontobegrenset delegering er endret | Kontotilstanden er nå aktivert eller deaktivert for delegering. |
| SpN-er for kontogrenset delegering er endret | Avgrenset delegering begrenser tjenestene som den angitte serveren kan handle på vegne av brukeren. |
| Kontodelegering endret | Endringer i innstillingene for kontodelegering |
| Konto deaktivert endret | Angir om en konto er deaktivert eller aktivert. |
| Kontoen er utløpt | Datoen kontoen utløper. |
| Utløpstid for konto endret | Endre til datoen kontoen utløper. |
| Konto låst endret | Endrer innstillingene for kontolås. |
| Kontopassordet er endret | Brukeren endret passordet sitt. |
| Kontopassordet er utløpt | Brukerens passord er utløpt. |
| Kontopassordet utløper aldri endret | Brukerens passord er endret til aldri å utløpe. |
| Kontopassordet er ikke nødvendig endret | Brukerkontoen ble endret for å tillate pålogging med et tomt passord. |
| Smartkort for konto kreves endret | Kontoendringer krever at brukere logger seg på en enhet ved hjelp av et smartkort. |
| Krypteringstyper som støttes av kontoen, er endret | Kerberos-støttede krypteringstyper ble endret (typer: Des, AES 129, AES 256) |
| Kontolåsing er endret | Endringer i innstillingene for kontolåsing |
| UPN-navn for konto er endret | Brukerens prinsippnavn ble endret. |
| Gruppemedlemskap endret | Brukeren ble lagt til/fjernet, til/fra en gruppe, av en annen bruker eller av seg selv. |
| E-post for bruker endret | E-postattributtet for brukere ble endret. |
| Brukerbehandling endret | Brukerbehandlingsattributtet ble endret. |
| Endret telefonnummer for bruker | Brukerens telefonnummerattributt ble endret. |
| Brukertittel endret | Brukerens tittelattributt ble endret. |
Overvåkede brukeraktiviteter: Operasjoner for sikkerhetskontohaver for AD
| Overvåket aktivitet | Beskrivelse |
|---|---|
| Brukerkonto opprettet | Brukerkonto ble opprettet |
| Datamaskinkonto opprettet | Datamaskinkontoen ble opprettet |
| Sikkerhetskontohaver slettet endret | Kontoen ble slettet/gjenopprettet (både bruker og datamaskin). |
| Visningsnavn for sikkerhetskontohaver endret | Visningsnavnet for kontoen ble endret fra X til Y. |
| Sikkerhetskontohavernavn endret | Attributtet Kontonavn ble endret. |
| Sikkerhetskontohaverbane endret | Unikt kontonavn ble endret fra X til Y. |
| Sikkerhetskontohaver Sam navn endret | Sam navn endret (SAM er påloggingsnavnet som brukes til å støtte klienter og servere som kjører tidligere versjoner av operativsystemet). |
Overvåkede brukeraktiviteter: Domenekontrollerbaserte brukeroperasjoner
| Overvåket aktivitet | Beskrivelse |
|---|---|
| Replikering av katalogtjeneste | Brukeren prøvde å replikere katalogtjenesten. |
| DNS-spørring | Type spørringsbruker utført mot domenekontrolleren (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| gMSA-passordhenting | gMSA-kontopassordet ble hentet av en bruker. Hvis du vil overvåke denne aktiviteten, må hendelse 4662 samles inn. Hvis du vil ha mer informasjon, kan du se Konfigurere Windows-hendelsessamlingen. |
| LDAP-spørring | Brukeren utførte en LDAP-spørring. |
| Potensiell sidebevegelse | En sideveis bevegelse ble identifisert. |
| PowerShell-kjøring | Brukeren prøvde å utføre en PowerShell-metode eksternt. |
| Henting av private data | Brukeren prøvde/lyktes i å spørre etter private data ved hjelp av LSARPC-protokollen. |
| Oppretting av tjeneste | Brukeren forsøkte å opprette en bestemt tjeneste eksternt på en ekstern maskin. |
| Opplisting av SMB-økt | Brukeren forsøkte å liste opp alle brukere med åpne SMB-økter på domenekontrollerne. |
| Kopi av SMB-fil | Bruker kopierte filer ved hjelp av SMB |
| SAMR-spørring | Brukeren utførte en SAMR-spørring. |
| Aktivitetsplanlegging | Brukeren prøvde å planlegge X-oppgaven eksternt til en ekstern maskin. |
| Wmi-kjøring | Brukeren prøvde å utføre en WMI-metode eksternt. |
Overvåkede brukeraktiviteter: Påloggingsoperasjoner
Hvis du vil ha mer informasjon, kan du se støttede påloggingstyper for IdentityLogonEvents tabellen.
Overvåkede maskinaktiviteter: Maskinkonto
| Overvåket aktivitet | Beskrivelse |
|---|---|
| Operativsystemet på datamaskinen er endret | Endre til datamaskinens OS. |
| SID-History endret | Endringer i datamaskinens SID-logg |