Microsoft Defender для удостоверений отслеживаемые действия
Microsoft Defender для удостоверений отслеживает сведения, созданные из Active Directory вашей организации, сетевых действий и действий событий, для обнаружения подозрительных действий. Отслеживаемые сведения о действиях позволяют Defender для удостоверений помочь вам определить допустимость каждой потенциальной угрозы, а также правильно рассмотреть и ответить на них.
В случае допустимой угрозы или истинно положительного результата Defender для удостоверений позволяет обнаружить область нарушения для каждого инцидента, выяснить, какие сущности участвуют, и определить, как их устранить.
Информация, отслеживаемая Defender для удостоверений, представлена в виде действий. Defender для удостоверений в настоящее время поддерживает мониторинг следующих типов действий:
Примечание.
- Эта статья относится ко всем типам датчиков Defender для удостоверений.
- Отслеживаемые действия Defender для удостоверений отображаются на странице профиля пользователя и компьютера.
- Отслеживаемые действия Defender для удостоверений также доступны на странице расширенной охоты Microsoft Defender XDR.
Совет
Подробные сведения обо всех поддерживаемых типах событий (ActionTypeзначениях) в таблицах, связанных с удостоверениями расширенной охоты, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.
Отслеживаемые действия пользователей: изменение атрибута AD учетной записи пользователя
| Отслеживаемые действия | Описание |
|---|---|
| Изменено состояние ограниченного делегирования учетной записи | Состояние учетной записи теперь включено или отключено для делегирования. |
| Изменены имена субъектов-служб с ограниченным делегированием учетной записи | Ограниченное делегирование ограничивает службы, которыми указанный сервер может действовать от имени пользователя. |
| Делегирование учетной записи изменено | Изменения параметров делегирования учетной записи. |
| Учетная запись отключена изменена | Указывает, отключена или включена учетная запись. |
| Срок действия учетной записи истек | Дата истечения срока действия учетной записи. |
| Изменено время истечения срока действия учетной записи | Измените дату истечения срока действия учетной записи. |
| Учетная запись заблокирована | Изменения параметров блокировки учетной записи. |
| Пароль учетной записи изменен | Пользователь изменил пароль. |
| Срок действия пароля учетной записи истек | Срок действия пароля пользователя истек. |
| Пароль учетной записи никогда не истечет изменен | Пароль пользователя изменен на никогда не истечет. |
| Пароль учетной записи не требуется изменять | Учетная запись пользователя была изменена, чтобы разрешить вход с пустым паролем. |
| Требуется изменить смарт-карту учетной записи | Изменения учетной записи требуют, чтобы пользователи входить на устройство с помощью смарт-карта. |
| Изменены поддерживаемые типы шифрования учетной записи | Изменены типы шифрования, поддерживаемые Kerberos (типы: Des, AES 129, AES 256). |
| Разблокировка учетной записи изменена | Изменения параметров разблокировки учетной записи. |
| Изменено имя имени участника-пользователя учетной записи | Имя участника пользователя было изменено. |
| Членство в группе изменено | Пользователь был добавлен или удален, в группу или из нее, другим пользователем или самим собой. |
| Изменена почта пользователя | Атрибут электронной почты users был изменен. |
| Диспетчер пользователей изменен | Атрибут диспетчера пользователя был изменен. |
| Номер телефона пользователя изменен | Атрибут номера телефона пользователя изменен. |
| Изменена должность пользователя | Атрибут заголовка пользователя был изменен. |
Отслеживаемые действия пользователей: операции с субъектом безопасности AD
| Отслеживаемые действия | Описание |
|---|---|
| Созданная учетная запись пользователя | Учетная запись пользователя создана. |
| Созданная учетная запись компьютера | Учетная запись компьютера создана. |
| Субъект безопасности удален | Учетная запись была удалена или восстановлена (как пользователь, так и компьютер). |
| Изменено отображаемое имя субъекта безопасности | Отображаемое имя учетной записи изменено с X на Y. |
| Изменено имя субъекта безопасности | Атрибут имени учетной записи изменен. |
| Изменен путь к субъекту безопасности | Различающееся имя учетной записи было изменено с X на Y. |
| Изменено имя sam субъекта безопасности | Изменено имя SAM (SAM — это имя для входа, используемое для поддержки клиентов и серверов под управлением более ранних версий операционной системы). |
Отслеживаемые действия пользователей: операции пользователя на основе контроллера домена
| Отслеживаемые действия | Описание |
|---|---|
| Репликация службы каталогов | Пользователь попытался реплицировать службу каталогов. |
| ЗАПРОС DNS | Тип запроса пользователя, выполняемого к контроллеру домена (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| Получение пароля gMSA | Пользователь извлек пароль учетной записи gMSA. Чтобы отслеживать это действие, необходимо собрать событие 4662. Дополнительные сведения см. в разделе Настройка коллекции событий Windows. |
| Запрос LDAP | Пользователь выполнил запрос LDAP. |
| Потенциальное боковое смещение | Было выявлено боковое смещение. |
| Выполнение PowerShell | Пользователь попытался удаленно выполнить метод PowerShell. |
| Извлечение частных данных | Пользователь пытался или успешно запросить частные данные по протоколу LSARPC. |
| Создание службы | Пользователь пытался удаленно создать определенную службу на удаленном компьютере. |
| Перечисление сеансов SMB | Пользователь пытался перечислить всех пользователей с открытыми сеансами SMB на контроллерах домена. |
| Копирование файла SMB | Пользователь скопировал файлы с помощью SMB. |
| Запрос SAMR | Пользователь выполнил запрос SAMR. |
| Планирование задач | Пользователь пытался удаленно запланировать задачу X на удаленный компьютер. |
| Выполнение WMI | Пользователь пытался удаленно выполнить метод WMI. |
Отслеживаемые действия пользователей: операции входа
Дополнительные сведения см. в разделе Поддерживаемые типы входа в таблицу IdentityLogonEvents .
Отслеживаемые действия компьютера: учетная запись компьютера
| Отслеживаемые действия | Описание |
|---|---|
| Операционная система компьютера изменена | Перейдите на ОС компьютера. |
| SID-History изменено | Изменения в журнале идентификаторов безопасности компьютера. |