atividades monitorizadas Microsoft Defender para Identidade
Microsoft Defender para Identidade monitoriza as informações geradas a partir do Active Directory da sua organização, atividades de rede e atividades de eventos para detetar atividades suspeitas. As informações de atividade monitorizadas permitem que o Defender para Identidade o ajude a determinar a validade de cada potencial ameaça e a fazer a triagem e a resposta corretamente.
No caso de uma ameaça válida ou verdadeiro positivo, o Defender para Identidade permite-lhe detetar o âmbito da falha de segurança para cada incidente, investigar as entidades envolvidas e determinar como remediar as mesmas.
As informações monitorizadas pelo Defender para Identidade são apresentadas sob a forma de atividades. Atualmente, o Defender para Identidade suporta a monitorização dos seguintes tipos de atividade:
Nota
- Este artigo é relevante para todos os tipos de sensores do Defender para Identidade.
- As atividades monitorizadas do Defender para Identidade aparecem na página de perfil do utilizador e do computador.
- As atividades monitorizadas do Defender para Identidade também estão disponíveis na página Investigação Avançada do Microsoft Defender XDR.
Atividades de utilizador monitorizadas: Alterações ao atributo do AD da conta de utilizador
| Atividade monitorizada | Descrição |
|---|---|
| Estado de Delegação Restrita de Conta Alterado | O estado da conta está agora ativado ou desativado para delegação. |
| SPNs de Delegação Restrita de Conta Alterados | A delegação restrita restringe os serviços aos quais o servidor especificado pode agir em nome do utilizador. |
| Delegação de Conta Alterada | Alterações às definições de delegação de conta |
| Conta Desativada Alterada | Indica se uma conta está desativada ou ativada. |
| Conta Expirada | Data em que a conta expira. |
| Tempo de Expiração da Conta Alterado | Altere para a data em que a conta expira. |
| Conta Bloqueada Alterada | Alterações às definições de bloqueio da conta. |
| Palavra-passe da Conta Alterada | O utilizador alterou a palavra-passe. |
| Palavra-passe da Conta Expirada | A palavra-passe do utilizador expirou. |
| A Palavra-passe da Conta Nunca Expira Alterada | A palavra-passe do utilizador foi alterada para nunca expirar. |
| Palavra-passe da Conta Não Necessária Alterada | A conta de utilizador foi alterada para permitir o início de sessão com uma palavra-passe em branco. |
| Smartcard de Conta Obrigatório Alterado | Alterações de conta para exigir que os utilizadores iniciem sessão num dispositivo com um smart card. |
| Tipos de Encriptação Suportados pela Conta Alterados | Os tipos de encriptação suportados por Kerberos foram alterados (tipos: Des, AES 129, AES 256) |
| Desbloqueio da Conta alterado | Alterações às definições de desbloqueio da conta |
| Nome do UPN da Conta Alterado | O nome principal do utilizador foi alterado. |
| Associação a Grupos Alterada | O utilizador foi adicionado/removido, de/para um grupo, por outro utilizador ou por si próprio. |
| Correio do Utilizador Alterado | O atributo de e-mail dos utilizadores foi alterado. |
| Gestor de Utilizadores Alterado | O atributo do gestor do utilizador foi alterado. |
| Número de Telefone do Utilizador Alterado | O atributo de número de telefone do utilizador foi alterado. |
| Título do Utilizador Alterado | O atributo de título do utilizador foi alterado. |
Atividades de utilizador monitorizadas: operações do principal de segurança do AD
| Atividade monitorizada | Descrição |
|---|---|
| Conta de Utilizador Criada | A conta de utilizador foi criada |
| Conta de Computador Criada | A conta de computador foi criada |
| Principal de Segurança Eliminado Alterado | A conta foi eliminada/restaurada (utilizador e computador). |
| Nome a Apresentar do Principal de Segurança Alterado | O nome a apresentar da conta foi alterado de X para Y. |
| Nome Principal de Segurança Alterado | O atributo de nome da conta foi alterado. |
| Caminho do Principal de Segurança Alterado | Nome único da conta foi alterado de X para Y. |
| Nome Sam do Principal de Segurança Alterado | O nome SAM foi alterado (SAM é o nome de início de sessão utilizado para suportar clientes e servidores com versões anteriores do sistema operativo). |
Atividades de utilizador monitorizadas: operações de utilizador baseadas no controlador de domínio
| Atividade monitorizada | Descrição |
|---|---|
| Replicação do Serviço de Diretório | O utilizador tentou replicar o serviço de diretório. |
| Consulta DNS | Tipo de utilizador de consulta efetuado no controlador de domínio (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| obtenção de palavra-passe gMSA | A palavra-passe da conta gMSA foi obtida por um utilizador. Para monitorizar esta atividade, o evento 4662 tem de ser recolhido. Para obter mais informações, veja Configurar a coleção de Eventos do Windows. |
| Consulta LDAP | O utilizador realizou uma consulta LDAP. |
| Movimento lateral potencial | Foi identificado um movimento lateral. |
| Execução do PowerShell | O utilizador tentou executar remotamente um método do PowerShell. |
| Obtenção de Dados Privados | O utilizador tentou/conseguiu consultar dados privados com o protocolo LSARPC. |
| Criação do Serviço | O utilizador tentou criar remotamente um serviço específico para um computador remoto. |
| Enumeração de Sessões SMB | O utilizador tentou enumerar todos os utilizadores com sessões SMB abertas nos controladores de domínio. |
| Cópia do ficheiro SMB | Ficheiros copiados pelo utilizador com SMB |
| Consulta SAMR | O utilizador realizou uma consulta SAMR. |
| Agendamento de Tarefas | O utilizador tentou agendar remotamente a tarefa X para um computador remoto. |
| Execução Wmi | O utilizador tentou executar remotamente um método WMI. |
Atividades de utilizador monitorizadas: operações de início de sessão
Para obter mais informações, consulte Tipos de início de sessão suportados para a IdentityLogonEvents tabela.
Atividades de máquinas monitorizadas: conta de computador
| Atividade monitorizada | Descrição |
|---|---|
| Sistema Operativo do Computador Alterado | Mude para o SO do computador. |
| SID-History alterado | Alterações ao histórico de SID do computador |