Monitorowane działania w usłudze Microsoft Defender for Identity
Usługa Microsoft Defender for Identity monitoruje informacje generowane przez usługę Active Directory w organizacji, działania sieciowe i działania zdarzeń w celu wykrywania podejrzanych działań. Monitorowane informacje o aktywności umożliwiają usłudze Defender for Identity określenie ważności każdego potencjalnego zagrożenia oraz prawidłowe klasyfikację i reagowanie.
W przypadku prawidłowego zagrożenia lub prawdziwie dodatniego usługa Defender for Identity umożliwia odnalezienie zakresu naruszenia dla każdego zdarzenia, zbadanie, które jednostki są zaangażowane, i określenie sposobu ich korygowania.
Informacje monitorowane przez usługę Defender for Identity są prezentowane w formie działań. Usługa Defender for Identity obecnie obsługuje monitorowanie następujących typów działań:
Uwaga
- Ten artykuł jest odpowiedni dla wszystkich typów czujników usługi Defender for Identity.
- Monitorowane działania usługi Defender for Identity są wyświetlane zarówno na stronie profilu użytkownika, jak i komputera.
- Monitorowane działania usługi Defender for Identity są również dostępne na stronie Zaawansowane wyszukiwanie zagrożeń w usłudze Microsoft Defender XDR.
Monitorowane działania użytkowników: zmiany atrybutów usługi AD konta użytkownika
| Monitorowana aktywność | opis |
|---|---|
| Zmieniono stan ograniczonego delegowania konta | Stan konta jest teraz włączony lub wyłączony dla delegowania. |
| Zmieniono ograniczone nazwy SPN delegowania konta | Ograniczone delegowanie ogranicza usługi, do których określony serwer może działać w imieniu użytkownika. |
| Zmieniono delegowanie konta | Zmiany ustawień delegowania konta |
| Wyłączone konto jest zmienione | Wskazuje, czy konto jest wyłączone, czy włączone. |
| Konto wygasło | Data wygaśnięcia konta. |
| Zmieniono czas wygaśnięcia konta | Zmień na datę wygaśnięcia konta. |
| Zmieniono zablokowane konto | Zmiany ustawień blokady konta. |
| Zmieniono hasło konta | Użytkownik zmienił swoje hasło. |
| Hasło konta wygasło | Hasło użytkownika wygasło. |
| Hasło konta nigdy nie wygasa | Hasło użytkownika nie uległo zmianie, aby nigdy nie wygasało. |
| Hasło konta nie jest wymagane | Konto użytkownika zostało zmienione, aby umożliwić logowanie się przy użyciu pustego hasła. |
| Wymagana karta inteligentna konta została zmieniona | Zmiany konta wymagają od użytkowników zalogowania się na urządzeniu przy użyciu karty inteligentnej. |
| Zmienione typy szyfrowania obsługiwane przez konto | Zmieniono obsługiwane typy szyfrowania Kerberos (typy: Des, AES 129, AES 256) |
| Odblokowanie konta uległo zmianie | Zmiany ustawień odblokowywania konta |
| Zmieniono nazwę UPN konta | Nazwa główna użytkownika została zmieniona. |
| Zmieniono członkostwo w grupie | Użytkownik został dodany/usunięty, do/z grupy, przez innego użytkownika lub przez siebie. |
| Poczta użytkownika została zmieniona | Atrybut e-mail użytkowników został zmieniony. |
| Menedżer użytkowników został zmieniony | Atrybut menedżera użytkownika został zmieniony. |
| Zmieniono numer Telefon użytkownika | Atrybut numeru telefonu użytkownika został zmieniony. |
| Tytuł użytkownika został zmieniony | Atrybut tytułu użytkownika został zmieniony. |
Monitorowane działania użytkowników: operacje podmiotu zabezpieczeń usługi AD
| Monitorowana aktywność | opis |
|---|---|
| Utworzone konto komputera | Konto komputera zostało utworzone |
| Usunięto podmiot zabezpieczeń | Konto zostało usunięte/przywrócone (zarówno użytkownik, jak i komputer). |
| Zmieniono nazwę wyświetlaną podmiotu zabezpieczeń | Nazwa wyświetlana konta została zmieniona z X na Y. |
| Zmieniono nazwę podmiotu zabezpieczeń | Atrybut nazwy konta został zmieniony. |
| Zmieniono ścieżkę podmiotu zabezpieczeń | Nazwa wyróżniająca konta została zmieniona z X na Y. |
| Zmieniono nazwę sam podmiotu zabezpieczeń | Zmieniono nazwę SAM (SAM to nazwa logowania używana do obsługi klientów i serwerów z wcześniejszymi wersjami systemu operacyjnego). |
Monitorowane działania użytkowników: operacje użytkownika oparte na kontrolerze domeny
| Monitorowana aktywność | opis |
|---|---|
| Replikacja usługi katalogowej | Użytkownik próbował replikować usługę katalogową. |
| Zapytanie DNS | Typ użytkownika zapytania wykonywanego na kontrolerze domeny (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| pobieranie haseł gMSA | Hasło konta gMSA zostało pobrane przez użytkownika. Aby monitorować to działanie, należy zebrać zdarzenie 4662. Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania zdarzeń systemu Windows. |
| Kwerenda LDAP | Użytkownik wykonał zapytanie LDAP. |
| Potencjalny ruch boczny | Zidentyfikowano ruch poprzeczny. |
| Wykonywanie programu PowerShell | Użytkownik próbował zdalnie wykonać metodę programu PowerShell. |
| Pobieranie danych prywatnych | Użytkownik próbował/udało się wysłać zapytanie o dane prywatne przy użyciu protokołu LSARPC. |
| Tworzenie usług | Użytkownik próbował zdalnie utworzyć określoną usługę na maszynie zdalnej. |
| Wyliczenie sesji SMB | Użytkownik próbował wyliczyć wszystkich użytkowników z otwartymi sesjami SMB na kontrolerach domeny. |
| Kopiowanie pliku SMB | Pliki skopiowane przez użytkownika przy użyciu protokołu SMB |
| Zapytanie SAMR | Użytkownik wykonał zapytanie SAMR. |
| Planowanie zadań | Użytkownik próbował zdalnie zaplanować zadanie X na maszynie zdalnej. |
| Wykonywanie usługi Wmi | Użytkownik próbował zdalnie wykonać metodę WMI. |
Monitorowane działania użytkowników: operacje logowania
Aby uzyskać więcej informacji, zobacz Obsługiwane typy logowania dla IdentityLogonEvents tabeli.
Monitorowane działania maszyny: konto komputera
| Monitorowana aktywność | opis |
|---|---|
| System operacyjny komputera został zmieniony | Przejdź do systemu operacyjnego komputera. |
| Zmieniono historię sid | Zmiany w historii identyfikatora SID komputera |