Microsoft Defender for Identity监视的活动

Microsoft Defender for Identity监视从组织的 Active Directory、网络活动和事件活动生成的信息，以检测可疑活动。受监视的活动信息使 Defender for Identity 能够帮助你确定每个潜在威胁的有效性，并正确会审和响应。

如果存在有效威胁或 真阳性，则 Defender for Identity 使你能够发现每个事件的违规范围、调查涉及的实体，并确定如何修正它们。

Defender for Identity 监视的信息以活动的形式显示。 Defender for Identity 目前支持监视以下活动类型：

注意

提示

有关高级搜寻标识相关表中) 所有受支持的事件类型 (ActionType 值的详细信息，请使用 Microsoft Defender XDR 中提供的内置架构参考。

监视的用户活动：用户帐户 AD 属性更改

受监视的活动	说明
帐户约束委派状态已更改	现在为委派启用或禁用了帐户状态。
帐户约束委派 SPN 已更改	约束委派限制指定服务器可以代表用户执行作的服务。
帐户委派已更改	对帐户委派设置的更改。
帐户已禁用已更改	指示是禁用还是启用帐户。
帐户已过期	帐户过期的日期。
帐户到期时间已更改	将更改为帐户过期的日期。
帐户锁定已更改	对帐户锁定设置的更改。
帐户密码已更改	用户更改了其密码。
帐户密码已过期	用户的密码已过期。
帐户密码永不过期已更改	用户的密码已更改为永不过期。
不需要更改帐户密码	用户帐户已更改，允许使用空白密码登录。
帐户智能卡必需已更改	帐户更改为要求用户使用智能卡登录到设备。
帐户支持的加密类型已更改	(类型更改了 Kerberos 支持的加密类型：Des、AES 129、AES 256) 。
帐户解锁已更改	对帐户解锁设置的更改。
帐户 UPN 名称已更改	用户的主体名称已更改。
组成员身份已更改	用户已添加到组或从组、其他用户或自行添加/删除。
用户邮件已更改	用户电子邮件属性已更改。
用户管理器已更改	用户的经理属性已更改。
用户电话号码已更改	用户的电话号码属性已更改。
用户标题已更改	用户的 title 属性已更改。

受监视的活动	说明
已创建用户帐户	用户帐户已创建。
已创建计算机帐户	计算机帐户已创建。
安全主体已删除已更改	帐户已被删除/还原 (用户和计算机) 。
安全主体显示名称已更改	帐户显示名称已从 X 更改为 Y。
安全主体名称已更改	帐户名称属性已更改。
安全主体路径已更改	帐户可分辨名称已从 X 更改为 Y。
安全主体 Sam 名称已更改	SAM 名称已更改 (SAM 是用于支持运行早期版本的作系统) 的客户端和服务器的登录名。

受监视的活动	说明
目录服务复制	用户尝试复制目录服务。
DNS 查询	用户针对域控制器执行的查询类型 (AXFR、TXT、 MX、 NS、 SRV、 ANY、 DNSKEY) 。
gMSA 密码检索	用户检索了 gMSA 帐户密码。若要监视此活动，必须收集事件 4662。有关详细信息，请参阅配置 Windows 事件集合。
LDAP 查询	用户执行了 LDAP 查询。
潜在的横向移动	已确定横向移动。
PowerShell 执行	用户尝试远程执行 PowerShell 方法。
专用数据检索	用户尝试/成功使用 LSARPC 协议查询专用数据。
服务创建	用户尝试远程创建远程计算机的特定服务。
SMB 会话枚举	用户尝试枚举域控制器上具有打开的 SMB 会话的所有用户。
SMB 文件复制	用户使用 SMB 复制的文件。
SAMR 查询	用户执行了 SAMR 查询。
任务计划	用户尝试将 X 任务远程计划到远程计算机。
Wmi 执行	用户尝试远程执行 WMI 方法。

有关详细信息，请参阅表支持的登录类型IdentityLogonEvents。

受监视的活动	说明
计算机作系统已更改	更改为计算机 OS。
已更改 SID-History	对计算机 SID 历史记录的更改。