共用方式為


適用於身分識別的 Microsoft Defender 監視的活動

適用於身分識別的 Microsoft Defender 監視從組織的Active Directory、網路活動和事件活動產生的資訊,以偵測可疑的活動。 受監視的活動資訊可讓適用於身分識別的 Defender 協助您判斷每個潛在威脅的有效性,並正確分級和回應。

在有效威脅或 確判為真的情況下,適用於身分識別的 Defender 可讓您探索每個事件的缺口範圍、調查涉及哪些實體,以及判斷如何補救這些實體。

適用於身分識別的Defender所監視的資訊會以活動的形式呈現。 適用於身分識別的 Defender 目前支援監視下列活動類型:

注意事項

  • 本文與適用於身分識別的所有 Defender 感測器類型相關。
  • 適用於身分識別的Defender監視活動會同時出現在使用者和計算機配置檔頁面上。
  • 適用於身分識別的Defender監視活動也可在 Microsoft Defender 全面偵測回應的 [進階搜捕] 頁面中取得。

受監視的用戶活動:用戶帳戶 AD 屬性變更

受監視的活動 描述
帳戶限制委派狀態已變更 帳戶狀態現在已啟用或停用以進行委派。
帳戶限制委派 SPN 已變更 限制委派會限制指定的伺服器可以代表用戶採取行動的服務。
帳戶委派已變更 帳戶委派設定的變更
帳戶已停用已變更 指出帳戶已停用或啟用。
帳戶已過期 帳戶到期的日期。
帳戶到期時間已變更 變更為帳戶到期的日期。
帳戶已鎖定已變更 帳戶鎖定設定的變更。
帳戶密碼已變更 用戶已變更其密碼。
帳戶密碼已過期 用戶的密碼已過期。
帳戶密碼永不過期已變更 用戶的密碼變更為永不過期。
不需要變更帳戶密碼 用戶帳戶已變更為允許使用空白密碼登入。
需要變更帳戶智慧卡 帳戶變更,要求使用者使用智慧卡登入裝置。
帳戶支援的加密類型已變更 Kerberos 支援的加密類型已變更 (類型:Des、AES 129、AES 256)
帳戶解除鎖定已變更 帳戶解除鎖定設定的變更
帳戶 UPN 名稱已變更 用戶的原則名稱已變更。
群組成員資格已變更 使用者已加入/移除群組、由其他使用者或其本身加入/移除。
使用者郵件已變更 用戶電子郵件屬性已變更。
使用者管理員已變更 使用者的管理員屬性已變更。
用戶電話號碼已變更 用戶的電話號碼屬性已變更。
用戶標題已變更 用戶的標題屬性已變更。

受監視的用戶活動:AD 安全性主體作業

受監視的活動 描述
已建立的用戶帳戶 用戶帳戶已建立
已建立電腦帳戶 計算機帳戶已建立
已刪除的安全性主體已變更 用戶和計算機) (刪除/還原帳戶。
安全性主體顯示名稱已變更 帳戶顯示名稱已從 X 變更為 Y。
安全性主體名稱已變更 帳戶名稱屬性已變更。
安全性主體路徑已變更 帳戶辨別名稱已從 X 變更為 Y。
安全性主體 Sam 名稱已變更 SAM 名稱已變更 (SAM 是用來支援執行舊版作業系統) 之用戶端和伺服器的登入名稱。

受監視的用戶活動:域控制器型用戶作業

受監視的活動 描述
目錄服務複寫 用戶嘗試複寫目錄服務。
DNS 查詢 針對域控制器執行的查詢用戶類型, (AXFRTXTMXNSSRVANYDNSKEY) 。
gMSA 密碼擷取 gMSA 帳戶密碼是由用戶擷取。
若要監視此活動,必須收集事件 4662。 如需詳細資訊, 請參閱設定 Windows 事件集合
LDAP 查詢 用戶執行了LDAP查詢。
潛在的橫向移動 已識別橫向移動。
PowerShell 執行 用戶嘗試從遠端執行 PowerShell 方法。
私人數據擷取 用戶嘗試/成功使用 LSARPC 通訊協定查詢私人數據。
服務建立 用戶嘗試從遠端建立遠端電腦的特定服務。
SMB 會話列舉 用戶嘗試列舉域控制器上開啟SMB工作階段的所有使用者。
SMB 檔案複製 使用SMB複製的用戶檔案
SAMR 查詢 用戶執行 SAMR 查詢。
工作排程 用戶嘗試從遠端將 X 工作排程至遠端電腦。
Wmi 執行 用戶嘗試從遠端執行 WMI 方法。

受監視的用戶活動:登入作業

如需詳細資訊,請參閱數據表支援的登入類型IdentityLogonEvents

受監視的機器活動:計算機帳戶

受監視的活動 描述
計算機作業系統已變更 變更為計算機OS。
已變更 SID-History 計算機 SID 歷程記錄的變更

另請參閱