Monitorované aktivity v programu Microsoft Defender for Identity
Microsoft Defender for Identity monitoruje informace vygenerované ze služby Active Directory vaší organizace, síťových aktivit a aktivit událostí za účelem detekce podezřelých aktivit. Informace o monitorované aktivitě umožňují defenderu for Identity určit platnost každé potenciální hrozby a správně určit prioritu a reagovat na ně.
V případě platné hrozby nebo skutečného pozitivního ověření vám Defender for Identity umožňuje zjistit rozsah porušení zabezpečení pro každý incident, prozkoumat, které entity jsou součástí, a určit, jak je napravit.
Informace monitorované programem Defender for Identity se zobrazují ve formě aktivit. Defender for Identity aktuálně podporuje monitorování následujících typů aktivit:
Poznámka:
- Tento článek je relevantní pro všechny typy senzorů Defenderu for Identity.
- Aktivity monitorované službou Defender for Identity se zobrazují na stránce profilu uživatele i počítače.
- Aktivity monitorované službou Defender for Identity jsou k dispozici také na stránce rozšířeného proaktivního vyhledávání v programu Microsoft Defender.
Monitorované aktivity uživatelů: Změny atributů AD uživatelského účtu
Monitorovaná aktivita | Popis |
---|---|
Změna stavu omezeného delegování účtu | Stav účtu je teď povolený nebo zakázaný pro delegování. |
Změněné hlavní názvy služby delegování s omezenými účty | Omezené delegování omezuje služby, na které může zadaný server jednat jménem uživatele. |
Změna delegování účtu | Změny nastavení delegování účtu |
Účet byl zakázán. | Určuje, jestli je účet zakázaný nebo povolený. |
Platnost účtu vypršela | Datum vypršení platnosti účtu |
Čas vypršení platnosti účtu se změnil | Změňte datum vypršení platnosti účtu. |
Uzamčený účet změněn | Změní nastavení uzamčení účtu. |
Změněné heslo účtu | Uživatel změnil heslo. |
Platnost hesla účtu vypršela | Platnost hesla uživatele vypršela. |
Nikdy nevyprší platnost hesla účtu | Platnost hesla uživatele se změnila tak, aby nikdy nevypršla. |
Nepožaduje se heslo účtu. | Uživatelský účet byl změněn tak, aby povoloval přihlášení pomocí prázdného hesla. |
Požadovaná změna čipové karty účtu | Změny účtu, které vyžadují, aby se uživatelé přihlásili k zařízení pomocí čipové karty. |
Změněné typy šifrování podporované účtem | Byly změněny podporované typy šifrování kerberos (typy: Des, AES 129, AES 256) |
Odemčení účtu se změnilo | Změny nastavení odemknutí účtu |
Změna názvu hlavního názvu uživatele (UPN) účtu | Hlavní název uživatele byl změněn. |
Změna členství ve skupině | Uživatel byl přidán nebo odebrán ze skupiny jiným uživatelem nebo samotným uživatelem. |
Změněná pošta uživatele | Atribut e-mailu uživatelů byl změněn. |
Změna správce uživatelů | Změnil se atribut správce uživatele. |
Změněno telefonní číslo uživatele | Atribut telefonního čísla uživatele byl změněn. |
Změna uživatelského názvu | Atribut názvu uživatele byl změněn. |
Monitorované aktivity uživatelů: Operace instančního objektu zabezpečení AD
Monitorovaná aktivita | Popis |
---|---|
Vytvořený uživatelský účet | Byl vytvořen uživatelský účet. |
Vytvořený účet počítače | Účet počítače byl vytvořen. |
Odstraněný objekt zabezpečení | Účet byl odstraněn nebo obnoven (uživatel i počítač). |
Změna zobrazovaného názvu objektu zabezpečení | Zobrazovaný název účtu se změnil z X na Y. |
Změna hlavního názvu zabezpečení | Byl změněn atribut názvu účtu. |
Změna cesty objektu zabezpečení | Rozlišující název účtu byl změněn z X na Y. |
Změna názvu Sam objektu zabezpečení | Změnil se název SAM (SAM je přihlašovací název používaný k podpoře klientů a serverů se staršími verzemi operačního systému). |
Monitorované aktivity uživatelů: Uživatelské operace založené na řadiči domény
Monitorovaná aktivita | Popis |
---|---|
Replikace adresářové služby | Uživatel se pokusil replikovat adresářovou službu. |
Dotaz DNS | Typ uživatele dotazu prováděného s řadičem domény (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
Načtení hesla gMSA | Heslo účtu gMSA načetl uživatel. Aby bylo možné tuto aktivitu monitorovat, musí se shromažďovat událost 4662. Další informace naleznete v tématu Konfigurace shromažďování událostí systému Windows. |
Dotaz LDAP | Uživatel provedl dotaz LDAP. |
Potenciální laterální pohyb | Byl identifikován laterální pohyb. |
Spuštění PowerShellu | Uživatel se pokusil vzdáleně spustit metodu PowerShellu. |
Načtení privátních dat | Uživatel se pokusil/úspěšně dotazovat privátní data pomocí protokolu LSARPC. |
Vytvoření služby | Uživatel se pokusil vzdáleně vytvořit konkrétní službu pro vzdálený počítač. |
Výčet relací SMB | Uživatel se pokusil zobrazit výčet všech uživatelů s otevřenými relacemi SMB na řadičích domény. |
Kopírování souboru SMB | Soubory zkopírované uživatelem pomocí protokolu SMB |
Dotaz SAMR | Uživatel provedl dotaz SAMR. |
Plánování úkolů | Uživatel se pokusil vzdáleně naplánovat úlohu X na vzdálený počítač. |
Spuštění služby Wmi | Uživatel se pokusil vzdáleně spustit metodu rozhraní WMI. |
Monitorované aktivity uživatelů: Operace přihlášení
Další informace naleznete v tématu Podporované typy přihlášení pro IdentityLogonEvents
tabulku.
Monitorované aktivity počítačů: Účet počítače
Monitorovaná aktivita | Popis |
---|---|
Změna operačního systému počítače | Přejděte na operační systém počítače. |
Změna historie identifikátorů SID | Změny historie identifikátorů SID počítače |