Microsoft Defender for Identity の監視アクティビティ

Microsoft Defender for Identity は、組織の Active Directory、ネットワーク アクティビティ、およびイベント アクティビティから生成された情報を監視して、疑わしいアクティビティを検出します。 監視対象のアクティビティ情報により、Defender for Identity は、潜在的な各脅威の有効性を判断し、正しくトリアージして対応するのに役立ちます。

有効な脅威または真陽性の場合、Defender for Identity を使用すると、各インシデントの侵害の範囲を検出し、関連するエンティティを調査し、それらを修復する方法を決定できます。

Defender for Identity によって監視される情報は、アクティビティの形式で表示されます。 Defender for Identity では現在、次のアクティビティの種類の監視がサポートされています。

Note

  • この記事は、Defender for Identity センサーのすべての種類に関連します。
  • Defender for Identity で監視されるアクティビティは、ユーザープロファイルページとマシンプロファイルページの両方に表示されます。
  • Defender for Identity で監視されるアクティビティは、Microsoft Defender XDR の 高度なハンティング ページでも利用できます。

監視対象ユーザー アクティビティ: ユーザー アカウント AD 属性の変更

監視対象アクティビティ 説明
アカウントの制約付き委任の状態が変更されました 委任に対してアカウントの状態が有効または無効になりました。
アカウント制約付き委任 SPN の変更 制約付き委任は、指定したサーバーがユーザーの代理で操作できるサービスを制限します。
アカウント委任の変更 アカウント委任設定の変更
アカウント無効の変更 アカウントが無効か有効かを示します。
アカウント期限切れ アカウントの有効期限が切れる日付。
アカウントの有効期限の変更 アカウントの有効期限日に日付を変更します。
アカウントロックの変更 アカウント ロック設定に対する変更。
アカウント パスワードの変更 ユーザーによってパスワードが変更されました。
アカウント パスワードの有効期限切れ ユーザーのパスワードが期限切れになりました。
アカウント パスワード無期限に変更 ユーザーのパスワードが無期限に変更されました。
アカウント パスワード不要の変更 空白のパスワードでログインできるようにユーザー アカウントが変更されました。
アカウント スマートカード必要の変更 ユーザーがスマート カードを使用してデバイスにログオンすることを要求するようにアカウントが変更されました。
アカウントでサポートされる暗号化の種類の変更 Kerberos でサポートされている暗号化の種類が変更されました (種類: Des、AES 129、AES 256)
アカウントのロック解除の変更 アカウント ロック解除設定に対する変更
アカウント UPN 名の変更 ユーザーのプリンシパル名が変更されました。
グループ メンバーシップの変更 ユーザーが、別のユーザー / 自分によって、グループに / グループから追加 /削除されました。
ユーザー メールの変更 ユーザーのメール属性が変更されました。
ユーザー マネージャーの変更 ユーザーのマネージャー属性が変更されました。
ユーザー 電話番号の変更 ユーザーの電話番号属性が変更されました。
ユーザー タイトルの変更 ユーザーのタイトル属性が変更されました。

監視対象のユーザー アクティビティ: AD セキュリティ プリンシパルの操作

監視対象アクティビティ 説明
コンピューター アカウントの作成 コンピューター アカウントが作成されました
セキュリティ プリンシパル削除の変更 アカウントが削除または復元されました (ユーザーとコンピューターの両方)。
セキュリティ プリンシパルの表示名の変更 アカウントの表示名が X から Y に変更されました。
セキュリティ プリンシパル名の変更 アカウント名属性が変更されました。
セキュリティ プリンシパル パスの変更 アカウント識別名が X から Y に変更されました。
セキュリティ プリンシパル Sam 名の変更 SAM名が変更されました (SAMは、以前のバージョンのオペレーティング システムを実行しているクライアントとサーバーをサポートするために使用されるログオン名です)。

監視対象ユーザー アクティビティ: コントローラー ベースのユーザー操作を実行メイン

監視対象アクティビティ 説明
ディレクトリ サービスのレプリケーション ユーザーがディレクトリ サービスをレプリケートしようとしました。
DNS クエリ ドメイン コントローラに対してユーザーが実行したクエリの種類 (AXFRTXTMXNSSRVANYDNSKEY)。
gMSA パスワードの取得 gMSA アカウントのパスワードがユーザーによって取得されました。
このアクティビティを監視するには、イベント 4662 を収集する必要があります。 詳細については、「Windows イベント コレクションの構成」を参照してください。
LDAP クエリ ユーザーが LDAP クエリを実行しました。
ラテラル ムーブメントの可能性 ラテラル ムーブメントが確認されました。
PowerShell の実行 ユーザーが PowerShell メソッドをリモートで実行しようとしました。
プライベート データの取得 ユーザーは、LSARPC プロトコルを使用してプライベート データに対してクエリを実行しようとしました。
サービスの作成 ユーザーがリモート コンピューターに対して特定のサービスをリモートで作成しようとしました。
SMB セッションリスト ユーザーは、ドメイン コントローラーで開いている SMBセッションがあるすべてのユーザーをリスト化しようとしました。
SMB ファイルのコピー ユーザーが SMB を使用してファイルをコピー
SAMR クエリ ユーザーが SAMR クエリを実行しました。
タスクのスケジュール ユーザーがリモート コンピューターに X タスクをリモートでスケジュールしようとしました。
Wmi 実行 ユーザーが WMI メソッドをリモートで実行しようとしました。

監視対象ユーザー アクティビティ: ログイン操作

詳細については、IdentityLogonEventsサポートされているログオンの種類のテーブルを参照してください。

監視対象のマシン アクティビティ: マシン アカウント

監視対象アクティビティ 説明
コンピューター オペレーティング システムの変更 コンピューターの OS に変更があります。
SID 履歴の変更 コンピューター SID 履歴に変更があります

参照