Monitorované aktivity v programu Microsoft Defender for Identity
Microsoft Defender for Identity monitoruje informace vygenerované ze služby Active Directory vaší organizace, síťových aktivit a aktivit událostí za účelem detekce podezřelých aktivit. Informace o monitorované aktivitě umožňují defenderu for Identity určit platnost každé potenciální hrozby a správně určit prioritu a reagovat na ně.
V případě platné hrozby nebo skutečného pozitivního ověření vám Defender for Identity umožňuje zjistit rozsah porušení zabezpečení pro každý incident, prozkoumat, které entity jsou součástí, a určit, jak je napravit.
Informace monitorované programem Defender for Identity se zobrazují ve formě aktivit. Defender for Identity aktuálně podporuje monitorování následujících typů aktivit:
Poznámka:
- Tento článek je relevantní pro všechny typy senzorů Defenderu for Identity.
- Aktivity monitorované službou Defender for Identity se zobrazují na stránce profilu uživatele i počítače.
- Aktivity monitorované službou Defender for Identity jsou k dispozici také na stránce rozšířeného proaktivního vyhledávání v programu Microsoft Defender.
Monitorované aktivity uživatelů: Změny atributů AD uživatelského účtu
| Monitorovaná aktivita | Popis |
|---|---|
| Změna stavu omezeného delegování účtu | Stav účtu je teď povolený nebo zakázaný pro delegování. |
| Změněné hlavní názvy služby delegování s omezenými účty | Omezené delegování omezuje služby, na které může zadaný server jednat jménem uživatele. |
| Změna delegování účtu | Změny nastavení delegování účtu |
| Účet byl zakázán. | Určuje, jestli je účet zakázaný nebo povolený. |
| Platnost účtu vypršela | Datum vypršení platnosti účtu |
| Čas vypršení platnosti účtu se změnil | Změňte datum vypršení platnosti účtu. |
| Uzamčený účet změněn | Změní nastavení uzamčení účtu. |
| Změněné heslo účtu | Uživatel změnil heslo. |
| Platnost hesla účtu vypršela | Platnost hesla uživatele vypršela. |
| Nikdy nevyprší platnost hesla účtu | Platnost hesla uživatele se změnila tak, aby nikdy nevypršla. |
| Nepožaduje se heslo účtu. | Uživatelský účet byl změněn tak, aby povoloval přihlášení pomocí prázdného hesla. |
| Požadovaná změna čipové karty účtu | Změny účtu, které vyžadují, aby se uživatelé přihlásili k zařízení pomocí čipové karty. |
| Změněné typy šifrování podporované účtem | Byly změněny podporované typy šifrování kerberos (typy: Des, AES 129, AES 256) |
| Odemčení účtu se změnilo | Změny nastavení odemknutí účtu |
| Změna názvu hlavního názvu uživatele (UPN) účtu | Hlavní název uživatele byl změněn. |
| Změna členství ve skupině | Uživatel byl přidán nebo odebrán ze skupiny jiným uživatelem nebo samotným uživatelem. |
| Změněná pošta uživatele | Atribut e-mailu uživatelů byl změněn. |
| Změna správce uživatelů | Změnil se atribut správce uživatele. |
| Uživatel Telefon Číslo změněno | Atribut telefonního čísla uživatele byl změněn. |
| Změna uživatelského názvu | Atribut názvu uživatele byl změněn. |
Monitorované aktivity uživatelů: Operace instančního objektu zabezpečení AD
| Monitorovaná aktivita | Popis |
|---|---|
| Vytvořený účet počítače | Účet počítače byl vytvořen. |
| Odstraněný objekt zabezpečení | Účet byl odstraněn nebo obnoven (uživatel i počítač). |
| Změna zobrazovaného názvu objektu zabezpečení | Zobrazovaný název účtu se změnil z X na Y. |
| Změna hlavního názvu zabezpečení | Byl změněn atribut názvu účtu. |
| Změna cesty objektu zabezpečení | Rozlišující název účtu byl změněn z X na Y. |
| Změna názvu Sam objektu zabezpečení | Změnil se název SAM (SAM je přihlašovací název používaný k podpoře klientů a serverů se staršími verzemi operačního systému). |
Monitorované aktivity uživatelů: Uživatelské operace založené na řadiči domény
| Monitorovaná aktivita | Popis |
|---|---|
| Replikace adresářové služby | Uživatel se pokusil replikovat adresářovou službu. |
| Dotaz DNS | Typ uživatele dotazu prováděného s řadičem domény (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| Načtení hesla gMSA | Heslo účtu gMSA načetl uživatel. Aby bylo možné tuto aktivitu monitorovat, musí se shromažďovat událost 4662. Další informace naleznete v tématu Konfigurace shromažďování událostí systému Windows. |
| Dotaz LDAP | Uživatel provedl dotaz LDAP. |
| Potenciální laterální pohyb | Byl identifikován laterální pohyb. |
| Spuštění PowerShellu | Uživatel se pokusil vzdáleně spustit metodu PowerShellu. |
| Načtení privátních dat | Uživatel se pokusil/úspěšně dotazovat privátní data pomocí protokolu LSARPC. |
| Vytvoření služby | Uživatel se pokusil vzdáleně vytvořit konkrétní službu pro vzdálený počítač. |
| Výčet relací SMB | Uživatel se pokusil zobrazit výčet všech uživatelů s otevřenými relacemi SMB na řadičích domény. |
| Kopírování souboru SMB | Soubory zkopírované uživatelem pomocí protokolu SMB |
| Dotaz SAMR | Uživatel provedl dotaz SAMR. |
| Plánování úkolů | Uživatel se pokusil vzdáleně naplánovat úlohu X na vzdálený počítač. |
| Spuštění služby Wmi | Uživatel se pokusil vzdáleně spustit metodu rozhraní WMI. |
Monitorované aktivity uživatelů: Operace přihlášení
Další informace naleznete v tématu Podporované typy přihlášení pro IdentityLogonEvents tabulku.
Monitorované aktivity počítačů: Účet počítače
| Monitorovaná aktivita | Popis |
|---|---|
| Změna operačního systému počítače | Přejděte na operační systém počítače. |
| Změna historie identifikátorů SID | Změny historie identifikátorů SID počítače |