İzlenen etkinlikleri Kimlik için Microsoft Defender
Kimlik için Microsoft Defender, şüpheli etkinlikleri algılamak için kuruluşunuzun Active Directory'sinden, ağ etkinliklerinden ve olay etkinliklerinden oluşturulan bilgileri izler. İzlenen etkinlik bilgileri, Kimlik için Defender'ın her olası tehdidin geçerliliğini belirlemenize ve doğru şekilde önceliklendirmenize ve yanıtlamanıza yardımcı olmasını sağlar.
Geçerli bir tehdit veya gerçek pozitif bir durum söz konusu olduğunda, Kimlik için Defender her olay için ihlalin kapsamını keşfetmenize, hangi varlıkların dahil olduğunu araştırmanıza ve bunların nasıl düzeltileceğini belirlemenize olanak tanır.
Kimlik için Defender tarafından izlenen bilgiler etkinlikler biçiminde sunulur. Kimlik için Defender şu anda aşağıdaki etkinlik türlerinin izlenmesini destekler:
Not
- Bu makale tüm Kimlik için Defender algılayıcı türleriyle ilgilidir.
- Kimlik için Defender izlenen etkinlikleri hem kullanıcı hem de makine profili sayfasında görünür.
- Kimlik için Defender izlenen etkinlikleri Microsoft Defender XDR'nin Gelişmiş Tehdit Avcılığı sayfasında da kullanılabilir.
İzlenen kullanıcı etkinlikleri: Kullanıcı hesabı AD özniteliği değişiklikleri
| İzlenen etkinlik | Açıklama |
|---|---|
| Hesap Kısıtlanmış Temsil Durumu Değiştirildi | Hesap durumu artık temsilci seçme için etkinleştirildi veya devre dışı bırakıldı. |
| Hesap Kısıtlanmış Temsil SPN'leri Değiştirildi | Kısıtlanmış temsil, belirtilen sunucunun kullanıcı adına işlem yapabilecekleri hizmetleri kısıtlar. |
| Hesap Temsilcisi Değiştirildi | Hesap temsilcisi ayarlarındaki değişiklikler |
| Hesap Devre Dışı Bırakıldı | Hesabın devre dışı mı yoksa etkin mi olduğunu gösterir. |
| Hesabın Süresi Doldu | Hesabın süresinin dolduğu tarih. |
| Hesap Süre Sonu Süresi Değiştirildi | Hesabın süresinin dolmak üzere olduğu tarihe geçin. |
| Hesap Kilitlendi Değiştirildi | Hesap kilidi ayarlarında yapılan değişiklikler. |
| Hesap Parolası Değiştirildi | Kullanıcı parolasını değiştirdi. |
| Hesap Parolasının Süresi Doldu | Kullanıcının parolasının süresi doldu. |
| Hesap Parolasının Süresi Hiç Değişmedi | Kullanıcı parolasının süresi hiç dolmak üzere değiştirildi. |
| Hesap Parolası Gerekli Değil Değiştirildi | Kullanıcı hesabı, boş bir parolayla oturum açma izni verecek şekilde değiştirildi. |
| Hesap Akıllı Kartı Gerekli Değiştirildi | Hesap değişiklikleri, kullanıcıların akıllı kart kullanarak bir cihazda oturum açmasını gerektirir. |
| Hesap Tarafından Desteklenen Şifreleme Türleri Değiştirildi | Kerberos tarafından desteklenen şifreleme türleri değiştirildi (türler: Des, AES 129, AES 256) |
| Hesap Kilidini Açma değiştirildi | Hesap kilidi açma ayarlarında yapılan değişiklikler |
| Hesap UPN Adı Değiştirildi | Kullanıcının ilke adı değiştirildi. |
| Grup Üyeliği Değiştirildi | Kullanıcı bir gruba, başka bir kullanıcı tarafından veya kendi başına eklendi/kaldırıldı. |
| Kullanıcı Postası Değiştirildi | Kullanıcılar e-posta özniteliği değiştirildi. |
| Kullanıcı Yöneticisi Değiştirildi | Kullanıcının yönetici özniteliği değiştirildi. |
| Kullanıcı Telefon Numarası Değiştirildi | Kullanıcının telefon numarası özniteliği değiştirildi. |
| Kullanıcı Başlığı Değiştirildi | Kullanıcının başlık özniteliği değiştirildi. |
İzlenen kullanıcı etkinlikleri: AD güvenlik sorumlusu işlemleri
| İzlenen etkinlik | Açıklama |
|---|---|
| Bilgisayar Hesabı Oluşturuldu | Bilgisayar hesabı oluşturuldu |
| Güvenlik Sorumlusu Silindi | Hesap silindi/geri yüklendi (hem kullanıcı hem de bilgisayar). |
| Güvenlik Sorumlusu Görünen Adı Değiştirildi | Hesap görünen adı X olan Y olarak değiştirildi. |
| Güvenlik Asıl Adı Değiştirildi | Hesap adı özniteliği değiştirildi. |
| Güvenlik Sorumlusu Yolu Değiştirildi | Hesap Ayırt Edici adı X olan Y olarak değiştirildi. |
| Güvenlik Sorumlusu Sam Adı Değiştirildi | SAM adı değiştirildi (SAM, işletim sisteminin önceki sürümlerini çalıştıran istemcileri ve sunucuları desteklemek için kullanılan oturum açma adıdır). |
İzlenen kullanıcı etkinlikleri: Etki alanı denetleyicisi tabanlı kullanıcı işlemleri
| İzlenen etkinlik | Açıklama |
|---|---|
| Dizin Hizmeti Çoğaltma | Kullanıcı dizin hizmetini çoğaltmaya çalıştı. |
| DNS sorgusu | Etki alanı denetleyicisine karşı gerçekleştirilen sorgu kullanıcısının türü (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| gMSA Parola alma | gMSA hesabı parolası bir kullanıcı tarafından alındı. Bu etkinliği izlemek için olay 4662 toplanmalıdır. Daha fazla bilgi için bkz . Windows Olay koleksiyonunu yapılandırma. |
| LDAP Sorgusu | Kullanıcı bir LDAP sorgusu gerçekleştirdi. |
| Olası yanal hareket | Yanal hareket belirlendi. |
| PowerShell yürütme | Kullanıcı bir PowerShell yöntemini uzaktan yürütmeye çalıştı. |
| Özel Veri Alma | Kullanıcı LSARPC protokollerini kullanarak özel verileri sorgulamaya çalıştı/başarılı oldu. |
| Hizmet Oluşturma | Kullanıcı, uzak bir makineye belirli bir hizmeti uzaktan oluşturmaya çalıştı. |
| SMB Oturum Numaralandırması | Kullanıcı, etki alanı denetleyicilerinde açık SMB oturumları olan tüm kullanıcıları listelemeye çalıştı. |
| SMB dosya kopyalama | SMB kullanarak kullanıcı tarafından kopyalanan dosyalar |
| SAMR Sorgusu | Kullanıcı bir SAMR sorgusu gerçekleştirdi. |
| Görev Zamanlaması | Kullanıcı, X görevini uzak bir makineye uzaktan zamanlamayı denedi. |
| Wmi Yürütme | Kullanıcı bir WMI yöntemini uzaktan yürütmeye çalıştı. |
İzlenen kullanıcı etkinlikleri: Oturum açma işlemleri
Daha fazla bilgi için bkz. Tablo için IdentityLogonEvents desteklenen oturum açma türleri.
İzlenen makine etkinlikleri: Makine hesabı
| İzlenen etkinlik | Açıklama |
|---|---|
| Bilgisayar İşletim Sistemi Değiştirildi | Bilgisayar işletim sistemine geçin. |
| SID Geçmişi değiştirildi | Bilgisayar SID geçmişinde yapılan değişiklikler |