Microsoft Defender per identità attività monitorate
Microsoft Defender per identità monitora le informazioni generate da Active Directory dell'organizzazione, le attività di rete e le attività degli eventi per rilevare attività sospette. Le informazioni sulle attività monitorate consentono a Defender per identità di determinare la validità di ogni potenziale minaccia e valutare e rispondere correttamente.
Nel caso di una minaccia valida o di un vero positivo, Defender per identità consente di individuare l'ambito della violazione per ogni evento imprevisto, analizzare le entità coinvolte e determinare come risolverle.
Le informazioni monitorate da Defender per identità vengono presentate sotto forma di attività. Defender per identità supporta attualmente il monitoraggio dei tipi di attività seguenti:
Nota
- Questo articolo è rilevante per tutti i tipi di sensori defender per identità.
- Le attività monitorate da Defender per identità vengono visualizzate nella pagina del profilo utente e del computer.
- Le attività monitorate da Defender per identità sono disponibili anche nella pagina Ricerca avanzata di Microsoft Defender XDR.
Attività utente monitorate: modifiche dell'attributo AD dell'account utente
| Attività monitorata | Descrizione |
|---|---|
| Stato di delega vincolata account modificato | Lo stato dell'account è ora abilitato o disabilitato per la delega. |
| SPN delega vincolata account modificata | La delega vincolata limita i servizi a cui il server specificato può agire per conto dell'utente. |
| Delega dell'account modificata | Modifiche alle impostazioni di delega dell'account |
| Account disabilitato modificato | Indica se un account è disabilitato o abilitato. |
| Account scaduto | Data di scadenza dell'account. |
| Ora di scadenza dell'account modificata | Passare alla data di scadenza dell'account. |
| Account bloccato modificato | Modifiche alle impostazioni di blocco dell'account. |
| Password dell'account modificata | L'utente ha modificato la password. |
| Password dell'account scaduta | Password dell'utente scaduta. |
| Password dell'account non scaduta mai modificata | La password dell'utente è stata modificata in modo da non scadere mai. |
| Password dell'account non richiesta modificata | L'account utente è stato modificato per consentire l'accesso con una password vuota. |
| Modifica della smart card dell'account | Modifiche dell'account per richiedere agli utenti di accedere a un dispositivo usando una smart card. |
| Tipi di crittografia supportati dall'account modificati | I tipi di crittografia supportati da Kerberos sono stati modificati (tipi: Des, AES 129, AES 256) |
| Sblocco dell'account modificato | Modifiche alle impostazioni di sblocco dell'account |
| Nome UPN account modificato | Il nome del principio dell'utente è stato modificato. |
| Appartenenza al gruppo modificata | L'utente è stato aggiunto/rimosso, da/verso un gruppo, da un altro utente o da se stesso. |
| Modifica posta utente | L'attributo di posta elettronica degli utenti è stato modificato. |
| User Manager modificato | L'attributo manager dell'utente è stato modificato. |
| Numero di Telefono utente modificato | L'attributo numero di telefono dell'utente è stato modificato. |
| Titolo utente modificato | L'attributo del titolo dell'utente è stato modificato. |
Attività utente monitorate: operazioni dell'entità di sicurezza di Active Directory
| Attività monitorata | Descrizione |
|---|---|
| Account computer creato | L'account computer è stato creato |
| Entità di sicurezza eliminata modificata | L'account è stato eliminato/ripristinato (sia utente che computer). |
| Nome visualizzato dell'entità di sicurezza modificato | Il nome visualizzato dell'account è stato modificato da X a Y. |
| Nome dell'entità di sicurezza modificato | L'attributo del nome dell'account è stato modificato. |
| Percorso dell'entità di sicurezza modificato | Il nome distinto dell'account è stato modificato da X a Y. |
| Nome sam dell'entità di sicurezza modificato | Nome SAM modificato (SAM è il nome di accesso usato per supportare client e server che eseguono versioni precedenti del sistema operativo). |
Attività utente monitorate: operazioni utente basate su controller di dominio
| Attività monitorata | Descrizione |
|---|---|
| Replica servizio directory | L'utente ha tentato di replicare il servizio directory. |
| Query DNS | Tipo di utente di query eseguito sul controller di dominio (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| Recupero password del servizio gestito del gruppo | La password dell'account del servizio gestito del gruppo è stata recuperata da un utente. Per monitorare questa attività, è necessario raccogliere l'evento 4662. Per altre informazioni, vedere Configurare la raccolta di eventi di Windows. |
| Query LDAP | L'utente ha eseguito una query LDAP. |
| Potenziale movimento laterale | È stato identificato un movimento laterale. |
| Esecuzione di PowerShell | L'utente ha tentato di eseguire in remoto un metodo di PowerShell. |
| Recupero dati privati | L'utente ha provato/ha avuto esito positivo per eseguire query sui dati privati usando il protocollo LSARPC. |
| Creazione di un servizio | L'utente ha tentato di creare in remoto un servizio specifico a un computer remoto. |
| Enumerazione sessione SMB | L'utente ha tentato di enumerare tutti gli utenti con sessioni SMB aperte nei controller di dominio. |
| Copia file SMB | File copiati dall'utente con SMB |
| SAMR Query | L'utente ha eseguito una query SAMR. |
| Pianificazione delle attività | L'utente ha tentato di pianificare in remoto l'attività X in un computer remoto. |
| Esecuzione wmi | L'utente ha tentato di eseguire in remoto un metodo WMI. |
Attività utente monitorate: operazioni di accesso
Per altre informazioni, vedere Tipi di accesso supportati per la IdentityLogonEvents tabella.
Attività del computer monitorate: account computer
| Attività monitorata | Descrizione |
|---|---|
| Sistema operativo computer modificato | Passare al sistema operativo del computer. |
| SID-History modificato | Modifiche alla cronologia SID del computer |