Microsoft Defender for Identity övervakade aktiviteter
Microsoft Defender for Identity övervakar information som genereras från din organisations Active Directory, nätverksaktiviteter och händelseaktiviteter för att identifiera misstänkt aktivitet. Den övervakade aktivitetsinformationen gör det möjligt för Defender for Identity att hjälpa dig att fastställa giltigheten för varje potentiellt hot och korrekt sortera och svara.
När det gäller ett giltigt hot eller en sann positiv identifiering kan du med Defender for Identity identifiera omfattningen av överträdelsen för varje incident, undersöka vilka entiteter som är inblandade och fastställa hur de ska åtgärdas.
Den information som övervakas av Defender for Identity visas i form av aktiviteter. Defender for Identity stöder för närvarande övervakning av följande aktivitetstyper:
Obs!
- Den här artikeln är relevant för alla typer av Defender för identitetssensorer.
- Övervakade aktiviteter i Defender för identitet visas på både användar- och datorprofilsidan.
- Defender for Identity-övervakade aktiviteter finns också på Microsoft Defender XDR avancerad jaktsida.
Övervakade användaraktiviteter: Ad-attributändringar för användarkonton
| Övervakad aktivitet | Beskrivning |
|---|---|
| Kontobegränsat delegeringstillstånd har ändrats | Kontotillståndet är nu aktiverat eller inaktiverat för delegering. |
| SPN för kontobegränsad delegering har ändrats | Begränsad delegering begränsar de tjänster som den angivna servern kan agera för användarens räkning. |
| Kontodelegeringen har ändrats | Ändringar i inställningarna för kontodelegering |
| Kontot har inaktiverats har ändrats | Anger om ett konto är inaktiverat eller aktiverat. |
| Kontot har upphört att gälla | Datum då kontot upphör att gälla. |
| Kontots förfallotid har ändrats | Ändra till det datum då kontot upphör att gälla. |
| Kontot har låsts har ändrats | Ändringar i inställningarna för kontolås. |
| Kontolösenordet har ändrats | Användaren har ändrat sitt lösenord. |
| Kontolösenordet har upphört att gälla | Användarens lösenord har upphört att gälla. |
| Kontolösenordet upphör aldrig att gälla ändrat | Användarens lösenord har ändrats så att det aldrig upphör att gälla. |
| Kontolösenordet krävs inte har ändrats | Användarkontot har ändrats för att tillåta inloggning med ett tomt lösenord. |
| Smartkort för konto som krävs har ändrats | Kontot ändras så att användarna måste logga in på en enhet med ett smartkort. |
| Krypteringstyper som stöds för kontot har ändrats | Krypteringstyper som stöds av Kerberos har ändrats (typer: Des, AES 129, AES 256) |
| Kontolåsning har ändrats | Ändringar i inställningarna för kontolåsning |
| Kontots UPN-namn har ändrats | Användarens huvudnamn har ändrats. |
| Gruppmedlemskap har ändrats | Användaren har lagts till/tagits bort, till/från en grupp, av en annan användare eller av sig själv. |
| Användarens e-post har ändrats | Användarnas e-postattribut har ändrats. |
| Användarhanteraren har ändrats | Användarens chefsattribut har ändrats. |
| Användarens telefonnummer har ändrats | Användarens telefonnummerattribut har ändrats. |
| Användartiteln har ändrats | Användarens rubrikattribut har ändrats. |
Övervakade användaraktiviteter: ÅTGÄRDER för AD-säkerhetsobjekt
| Övervakad aktivitet | Beskrivning |
|---|---|
| Användarkonto har skapats | Användarkontot skapades |
| Datorkonto har skapats | Datorkontot skapades |
| Säkerhetsobjektet har tagits bort har ändrats | Kontot har tagits bort/återställts (både användare och dator). |
| Säkerhetsobjektets visningsnamn har ändrats | Kontots visningsnamn har ändrats från X till Y. |
| Säkerhetsobjektets namn har ändrats | Kontonamnsattributet har ändrats. |
| Säkerhetsobjektets sökväg har ändrats | Kontots unika namn har ändrats från X till Y. |
| Sam-namnet för säkerhetsobjektet har ändrats | SAM-namnet har ändrats (SAM är inloggningsnamnet som används för att stödja klienter och servrar som kör tidigare versioner av operativsystemet). |
Övervakade användaraktiviteter: Domänkontrollantbaserade användaråtgärder
| Övervakad aktivitet | Beskrivning |
|---|---|
| Replikering av katalogtjänst | Användaren försökte replikera katalogtjänsten. |
| DNS-fråga | Typ av frågeanvändare som utförs mot domänkontrollanten (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| gMSA-lösenordshämtning | gMSA-kontolösenordet hämtades av en användare. Händelse 4662 måste samlas in för att övervaka den här aktiviteten. Mer information finns i Konfigurera Windows-händelsesamling. |
| LDAP-fråga | Användaren utförde en LDAP-fråga. |
| Potentiell lateral förflyttning | En lateral förflyttning identifierades. |
| PowerShell-körning | Användaren försökte fjärrensa en PowerShell-metod. |
| Hämtning av privata data | Användaren försökte/lyckades köra frågor mot privata data med hjälp av LSARPC-protokollet. |
| Skapa tjänst | Användaren försökte fjärrskapa en specifik tjänst till en fjärrdator. |
| SMB-sessionsuppräkning | Användaren försökte räkna upp alla användare med öppna SMB-sessioner på domänkontrollanterna. |
| SMB-filkopiering | Användaren kopierade filer med hjälp av SMB |
| SAMR-fråga | Användaren utförde en SAMR-fråga. |
| Schemaläggning av aktiviteter | Användaren försökte fjärrschemalägg X-uppgift till en fjärrdator. |
| Wmi-körning | Användaren försökte fjärrensa en WMI-metod. |
Övervakade användaraktiviteter: Inloggningsåtgärder
Mer information finns i Inloggningstyper som stöds för IdentityLogonEvents tabellen.
Övervakade datoraktiviteter: Datorkonto
| Övervakad aktivitet | Beskrivning |
|---|---|
| Datorns operativsystem har ändrats | Ändra till datorns operativsystem. |
| SID-History har ändrats | Ändringar i datorns SID-historik |