Microsoft Defender for Identity bewaakte activiteiten
Microsoft Defender for Identity controleert informatie die is gegenereerd door de Active Directory van uw organisatie, netwerkactiviteiten en gebeurtenisactiviteiten om verdachte activiteiten te detecteren. Met de informatie over bewaakte activiteiten kan Defender for Identity u helpen de geldigheid van elke potentiële bedreiging te bepalen en correct te sorteren en te reageren.
In het geval van een geldige bedreiging, of waar positief, kunt u met Defender for Identity het bereik van de inbreuk voor elk incident detecteren, onderzoeken welke entiteiten betrokken zijn en bepalen hoe u deze kunt herstellen.
De informatie die door Defender for Identity wordt bewaakt, wordt weergegeven in de vorm van activiteiten. Defender for Identity ondersteunt momenteel bewaking van de volgende activiteitstypen:
Opmerking
- Dit artikel is relevant voor alle Defender for Identity-sensortypen.
- Bewaakte activiteiten van Defender for Identity worden weergegeven op zowel de profielpagina van de gebruiker als de computer.
- Bewaakte activiteiten van Defender for Identity zijn ook beschikbaar op de pagina Geavanceerde opsporing van Microsoft Defender XDR.
Bewaakte gebruikersactiviteiten: Ad-kenmerkwijzigingen voor gebruikersaccounts
| Bewaakte activiteit | Beschrijving |
|---|---|
| Status van beperkte accountdelegering gewijzigd | De accountstatus is nu ingeschakeld of uitgeschakeld voor delegering. |
| SPN's voor beperkte delegering van account gewijzigd | Beperkte delegering beperkt de services waarvoor de opgegeven server namens de gebruiker kan handelen. |
| Accountdelegering gewijzigd | Wijzigingen in de instellingen voor accountdelegering |
| Account uitgeschakeld gewijzigd | Geeft aan of een account is uitgeschakeld of ingeschakeld. |
| Account verlopen | Datum waarop het account verloopt. |
| Verlooptijd van account gewijzigd | Wijzig in de datum waarop het account verloopt. |
| Account vergrendeld gewijzigd | Wijzigingen in de instellingen voor accountvergrendeling. |
| Accountwachtwoord gewijzigd | De gebruiker heeft het wachtwoord gewijzigd. |
| Accountwachtwoord is verlopen | Het wachtwoord van de gebruiker is verlopen. |
| Accountwachtwoord verloopt nooit gewijzigd | Het wachtwoord van de gebruiker is gewijzigd zodat het nooit verloopt. |
| Accountwachtwoord niet vereist gewijzigd | Gebruikersaccount is gewijzigd zodat aanmelden met een leeg wachtwoord is toegestaan. |
| Smartcard account vereist gewijzigd | Accountwijzigingen zodat gebruikers zich moeten aanmelden bij een apparaat met behulp van een smartcard. |
| Account ondersteunde versleutelingstypen gewijzigd | Kerberos ondersteunde versleutelingstypen zijn gewijzigd (typen: Des, AES 129, AES 256) |
| Account ontgrendelen gewijzigd | Wijzigingen in de instellingen voor het ontgrendelen van accounts |
| UPN-naam van account gewijzigd | De principenaam van de gebruiker is gewijzigd. |
| Groepslidmaatschap gewijzigd | De gebruiker is toegevoegd/verwijderd, naar/uit een groep, door een andere gebruiker of door zichzelf. |
| Gebruikersmail gewijzigd | Het e-mailkenmerk van gebruikers is gewijzigd. |
| Gebruikersbeheer is gewijzigd | Het managerkenmerk van de gebruiker is gewijzigd. |
| Telefoonnummer van gebruiker gewijzigd | Het telefoonnummerkenmerk van de gebruiker is gewijzigd. |
| Gebruikerstitel gewijzigd | Het titelkenmerk van de gebruiker is gewijzigd. |
Bewaakte gebruikersactiviteiten: AD-beveiligingsprincipalbewerkingen
| Bewaakte activiteit | Beschrijving |
|---|---|
| Gebruikersaccount gemaakt | Gebruikersaccount is gemaakt |
| Computeraccount gemaakt | Computeraccount is gemaakt |
| Beveiligingsprincipal verwijderd gewijzigd | Account is verwijderd/hersteld (zowel gebruiker als computer). |
| Weergavenaam van beveiligingsprincipal gewijzigd | De weergavenaam van het account is gewijzigd van X in Y. |
| Naam van beveiligingsprincipal gewijzigd | Het kenmerk Accountnaam is gewijzigd. |
| Beveiligingsprincipalpad gewijzigd | De DN-naam van het account is gewijzigd van X in Y. |
| Sam-naam van beveiligingsprincipal gewijzigd | SAM-naam gewijzigd (SAM is de aanmeldingsnaam die wordt gebruikt ter ondersteuning van clients en servers met eerdere versies van het besturingssysteem). |
Bewaakte gebruikersactiviteiten: op domeincontroller gebaseerde gebruikersbewerkingen
| Bewaakte activiteit | Beschrijving |
|---|---|
| Replicatie van directoryservice | De gebruiker heeft geprobeerd de adreslijstservice te repliceren. |
| DNS-query | Type querygebruiker uitgevoerd op de domeincontroller (AXFR,TXT,MX, NS, SRV, ANY, DNSKEY). |
| gMSA-wachtwoord ophalen | gMSA-accountwachtwoord is opgehaald door een gebruiker. Als u deze activiteit wilt bewaken, moet gebeurtenis 4662 worden verzameld. Zie Windows-gebeurtenisverzameling configureren voor meer informatie. |
| LDAP-query | Gebruiker heeft een LDAP-query uitgevoerd. |
| Mogelijke laterale beweging | Er werd een zijwaartse beweging geïdentificeerd. |
| PowerShell-uitvoering | De gebruiker heeft geprobeerd een PowerShell-methode op afstand uit te voeren. |
| Persoonlijke gegevens ophalen | Gebruiker heeft geprobeerd privégegevens op te vragen met behulp van het LSARPC-protocol. |
| Service maken | De gebruiker heeft geprobeerd om op afstand een specifieke service te maken op een externe computer. |
| Opsomming van SMB-sessies | De gebruiker heeft geprobeerd alle gebruikers op te sommen met geopende SMB-sessies op de domeincontrollers. |
| SMB-bestand kopiëren | Door gebruiker gekopieerde bestanden met behulp van SMB |
| SAMR-query | Gebruiker heeft een SAMR-query uitgevoerd. |
| Taakplanning | De gebruiker heeft geprobeerd de X-taak op afstand te plannen op een externe computer. |
| Wmi-uitvoering | Gebruiker heeft geprobeerd een WMI-methode op afstand uit te voeren. |
Bewaakte gebruikersactiviteiten: aanmeldingsbewerkingen
Zie Ondersteunde aanmeldingstypen voor de IdentityLogonEvents tabel voor meer informatie.
Bewaakte machineactiviteiten: Machineaccount
| Bewaakte activiteit | Beschrijving |
|---|---|
| Computerbesturingssysteem gewijzigd | Ga naar het besturingssysteem van de computer. |
| SID-History gewijzigd | Wijzigingen in de sid-geschiedenis van de computer |