Pertahanan Microsoft untuk Identitas aktivitas yang dipantau
Pertahanan Microsoft untuk Identitas memantau informasi yang dihasilkan dari Direktori Aktif, aktivitas jaringan, dan aktivitas peristiwa organisasi Anda untuk mendeteksi aktivitas yang mencurigakan. Informasi aktivitas yang dipantau memungkinkan Defender for Identity untuk membantu Anda menentukan validitas setiap potensi ancaman dan triase dan respons dengan benar.
Dalam kasus ancaman yang valid, atau positif sejati, Defender for Identity memungkinkan Anda menemukan cakupan pelanggaran untuk setiap insiden, menyelidiki entitas mana yang terlibat, dan menentukan cara memulihkannya.
Informasi yang dipantau oleh Defender for Identity disajikan dalam bentuk kegiatan. Defender for Identity saat ini mendukung pemantauan jenis aktivitas berikut:
Catatan
- Artikel ini relevan untuk semua jenis sensor Defender for Identity.
- Aktivitas yang dipantau Defender untuk Identitas muncul di halaman profil pengguna dan komputer.
- Aktivitas yang dipantau Defender for Identity juga tersedia di halaman Perburuan Tingkat Lanjut Pertahanan Microsoft 365.
Aktivitas pengguna yang dipantau: Perubahan atribut AD akun pengguna
| Aktivitas yang dipantau | Deskripsi |
|---|---|
| Status Delegasi Yang Dibatasi Akun Diubah | Status akun sekarang diaktifkan atau dinonaktifkan untuk delegasi. |
| SPN Delegasi Yang Dibatasi Akun Diubah | Delegasi yang dibatasi membatasi layanan tempat server yang ditentukan dapat bertindak atas nama pengguna. |
| Delegasi Akun Diubah | Perubahan pada pengaturan delegasi akun |
| Akun Dinonaktifkan Diubah | Menunjukkan apakah akun dinonaktifkan atau diaktifkan. |
| Akun Kedaluwarsa | Tanggal saat akun kedaluwarsa. |
| Waktu Kedaluwarsa Akun Diubah | Ubah ke tanggal saat akun kedaluwarsa. |
| Akun Terkunci Diubah | Ubah ke tanggal saat akun kedaluwarsa. |
| Kata Sandi Akun Diubah | Pengguna mengubah kata sandi mereka. |
| Kata Sandi Akun Kedaluwarsa | Kata sandi pengguna kedaluwarsa. |
| Kata Sandi Akun Tidak Pernah Kedaluwarsa Diubah | Kata sandi pengguna berubah menjadi tidak pernah kedaluwarsa. |
| Kata Sandi Akun Tidak Diperlukan Diubah | Akun pengguna diubah untuk memperbolehkan masuk dengan kata sandi kosong. |
| Kartu Pintar Akun Diperlukan Diubah | Perubahan akun untuk mengharuskan pengguna masuk ke perangkat menggunakan kartu pintar. |
| Jenis Enkripsi yang Didukung Akun Diubah | Jenis enkripsi yang didukung Kerberos diubah (jenis: Des, AES 129, AES 256) |
| Pembukaan Kunci Akun diubah | Perubahan pada pengaturan buka kunci akun |
| Nama UPN Akun Diubah | Nama prinsip pengguna diubah. |
| Keanggotaan Grup Berubah | Pengguna ditambahkan/dihapus, ke/dari grup, oleh pengguna lain atau sendiri. |
| Email Pengguna Diubah | Atribut email pengguna diubah. |
| Manajer Pengguna Diubah | Atribut manajer pengguna diubah. |
| Nomor Telepon Pengguna Diubah | Atribut nomor telepon pengguna diubah. |
| Judul Pengguna Diubah | Atribut judul pengguna diubah. |
Aktivitas pengguna yang dipantau: Operasi utama keamanan AD
| Aktivitas yang dipantau | Deskripsi |
|---|---|
| Akun Komputer Dibuat | Akun komputer telah dibuat |
| Perwakilan Keamanan Dihapus Diubah | Akun telah dihapus/dipulihkan (pengguna dan komputer). |
| Nama Tampilan Prinsipal Keamanan Diubah | Nama tampilan akun diubah dari X ke Y. |
| Nama Prinsipal Keamanan Diubah | Atribut nama akun diubah. |
| Jalur Utama Keamanan Diubah | Nama Distinguished Akun diubah dari X ke Y. |
| Nama Sam Perwakilan Keamanan Diubah | Nama SAM yang diubah (SAM adalah nama masuk yang digunakan untuk mendukung klien dan server yang menjalankan versi sistem operasi yang lebih lama). |
Aktivitas pengguna yang dipantau: Operasi pengguna berbasis pengendali domain
| Aktivitas yang dipantau | Deskripsi |
|---|---|
| Replikasi Layanan Direktori | Pengguna mencoba mereplikasi layanan direktori. |
| Kueri DNS | Jenis pengguna kueri yang dilakukan terhadap pengendali domain (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| Pengambilan Kata Sandi gMSA | Kata sandi akun gMSA diambil oleh pengguna. Untuk memantau aktivitas ini, peristiwa 4662 harus dikumpulkan. Untuk informasi selengkapnya, lihat Mengonfigurasi kumpulan Peristiwa Windows. |
| Kueri LDAP | Pengguna melakukan kueri LDAP. |
| Potensi gerakan lateral | Gerakan lateral diidentifikasi. |
| Eksekusi PowerShell | Pengguna mencoba menjalankan metode PowerShell dari jarak jauh. |
| Pengambilan Data Privat | Pengguna mencoba/berhasil mengkueri data privat menggunakan protokol LSARPC. |
| Pembuatan Layanan | Pengguna mencoba membuat layanan tertentu dari jarak jauh ke komputer jarak jauh. |
| Enumerasi Sesi SMB | Pengguna mencoba menghitung semua pengguna dengan sesi SMB terbuka pada pengontrol domain. |
| Salinan file SMB | File yang disalin pengguna menggunakan SMB |
| Kueri SAMR | Pengguna melakukan kueri SAMR. |
| Penjadwalan Tugas | Pengguna mencoba menjadwalkan tugas X dari jarak jauh ke komputer jarak jauh. |
| Eksekusi Wmi | Pengguna mencoba menjalankan metode WMI dari jarak jauh. |
Aktivitas pengguna yang dipantau: Operasi masuk
| Jenis masuk | Aktivitas yang dipantau | Deskripsi |
|---|---|---|
| Jenis masuk 2 | Validasi Kredensial | Peristiwa autentikasi akun domain menggunakan metode autentikasi NTLM dan Kerberos. |
| Jenis masuk 2 | Masuk Interaktif | Pengguna mendapatkan akses jaringan dengan memasukkan nama pengguna dan kata sandi (metode autentikasi Kerberos atau NTLM). |
| Jenis masuk 2 | Masuk Interaktif dengan Sertifikat | Pengguna mendapatkan akses jaringan dengan menggunakan sertifikat. |
| Jenis masuk 2 | Koneksi VPN | Pengguna yang terhubung oleh VPN - Autentikasi menggunakan protokol RADIUS. |
| Jenis masuk 3 | Akses Sumber Daya | Pengguna mengakses sumber daya menggunakan autentikasi Kerberos atau NTLM. |
| Jenis masuk 3 | Akses Sumber Daya yang Didelegasikan | Pengguna mengakses sumber daya menggunakan delegasi Kerberos. |
| Jenis masuk 8 | LDAP Cleartext | Pengguna diautentikasi menggunakan LDAP dengan kata sandi teks yang jelas (Autentikasi sederhana). |
| Jenis masuk 10 | Desktop Jauh | Pengguna melakukan sesi RDP ke komputer jarak jauh menggunakan autentikasi Kerberos. |
| --- | Gagal Masuk | Upaya autentikasi gagal akun domain (melalui NTLM dan Kerberos) karena hal berikut: akun dinonaktifkan/kedaluwarsa/terkunci/menggunakan sertifikat yang tidak tepercaya atau karena jam masuk yang tidak valid/kata sandi lama/kata sandi kedaluwarsa/kata sandi yang salah. |
| --- | Gagal Masuk dengan Sertifikat | Upaya autentikasi gagal akun domain (melalui Kerberos) karena hal berikut: akun dinonaktifkan/kedaluwarsa/terkunci/menggunakan sertifikat yang tidak tepercaya atau karena jam masuk yang tidak valid/kata sandi lama/kata sandi kedaluwarsa/kata sandi yang salah. |
Aktivitas mesin yang dipantau: Akun komputer
| Aktivitas yang dipantau | Deskripsi |
|---|---|
| Sistem Operasi Komputer Diubah | Ubah ke OS komputer. |
| SID-History berubah | Perubahan pada riwayat SID komputer |