Weitere Informationen finden Sie unter Überwachte Aktivitäten mit Microsoft Defender for Identity
Microsoft Defender for Identity überwacht Informationen, die aus active Directory, Netzwerkaktivitäten und Ereignisaktivitäten Ihrer Organisation generiert werden, um verdächtige Aktivitäten zu erkennen. Mithilfe der überwachten Aktivitätsinformationen können Sie Defender for Identity dabei unterstützen, die Gültigkeit der einzelnen potenziellen Bedrohungen zu ermitteln und korrekt zu triagen und zu reagieren.
Im Falle einer gültigen Bedrohung oder eines echten Positiven ermöglicht Ihnen Defender for Identity, den Umfang der Verletzung für jeden Vorfall zu ermitteln, zu untersuchen, welche Entitäten beteiligt sind, und zu bestimmen, wie sie behoben werden.
Die von Defender for Identity überwachten Informationen werden in Form von Aktivitäten dargestellt. Defender for Identity unterstützt derzeit die Überwachung der folgenden Aktivitätstypen:
Hinweis
- Dieser Artikel ist für alle Defender for Identity-Sensortypen relevant.
- Überwachte Aktivitäten von Defender for Identity werden sowohl auf der Benutzer- als auch auf der Computerprofilseite angezeigt.
- Überwachte Aktivitäten von Defender for Identity sind auch auf der Seite "Erweiterte Bedrohungssuche" von Microsoft Defender XDR verfügbar.
Überwachte Benutzeraktivitäten: Änderungen des AD-Attributs des Benutzerkontos
| überwachte Aktivitäten | Beschreibung |
|---|---|
| Konto eingeschränkter Delegierungsstatus geändert | Der Kontostatus ist jetzt für die Delegierung aktiviert oder deaktiviert. |
| Eingeschränkte Kontodelegierungs-SPNs geändert | Wenn dieses Feature konfiguriert ist, beschränkt die eingeschränkte Delegierung die Dienste, für die ein angegebener Server im Auftrag eines Benutzers agieren kann. |
| Kontodelegierung geändert | Änderungen an den Kontodelegierungseinstellungen |
| Konto deaktiviert geändert | Hiermit wird angegeben, ob die -Einstellung aktiviert oder deaktiviert ist. |
| Konto abgelaufen | Datum, an dem das Konto abläuft. |
| Kontoablaufzeit geändert | Ändern Sie das Datum, an dem das Konto abläuft. |
| Konto gesperrt geändert | Änderungen an den Kontosperreinstellungen. |
| Änderung des Kontokennworts | Der Benutzer hat das Kennwort geändert. |
| Das Kontokennwort ist abgelaufen. | Das Kennwort des Benutzers ist abgelaufen. |
| Kontokennwort läuft nie geändert ab | Das Kennwort des Benutzers wurde so geändert, dass es nie abläuft. |
| Kontokennwort nicht erforderlich geändert | Das Benutzerkonto wurde geändert, um die Anmeldung mit einem leeren Kennwort zuzulassen. |
| Konto smart Karte Erforderlich geändert | Kontoänderungen erfordern, dass Benutzer sich mit einem intelligenten Karte bei einem Gerät anmelden müssen. |
| Konto unterstützte Verschlüsselungstypen geändert | Kerberos unterstützte Verschlüsselungstypen wurden geändert (Typen: Des, AES 129, AES 256) |
| Kontosperrung geändert | Änderungen an den Einstellungen für die Kontosperrung |
| Konto-UPN-Name geändert | Der Prinzipname des Benutzers wurde geändert. |
| Änderungen an der Gruppenmitgliedschaft | Der Benutzer wurde von einem anderen Benutzer oder von sich selbst zu/aus einer Gruppe hinzugefügt/daraus entfernt. |
| Benutzer-E-Mail geändert | Benutzer-E-Mail-Attribut wurde geändert. |
| Benutzer-Manager geändert | Das Manager-Attribut des Benutzers wurde geändert. |
| Benutzer Telefon Geänderte Nummer | Das Telefonnummern-Attribut des Benutzers wurde geändert. |
| Benutzertitel geändert | Das Titelattribute des Benutzers wurde geändert. |
Überwachte Benutzeraktivitäten: AD-Sicherheitsprinzipalvorgänge
| überwachte Aktivitäten | Beschreibung |
|---|---|
| Computerkonto erstellt | Computerkonto wurde erstellt |
| Sicherheitsprinzipal gelöscht | Das Konto wurde gelöscht/wiederhergestellt (sowohl Benutzer als auch Computer). |
| Anzeigename des Sicherheitsprinzipals geändert | Der Anzeigename des Kontos wurde von X zu Y geändert. |
| Sicherheitsprinzipalname geändert | Das Attribut "Kontoname" wurde geändert. |
| Sicherheitsprinzipalpfad geändert | Der Name "Account Distinguished" wurde von X zu Y geändert. |
| Sicherheitsprinzipalname "Sam" geändert | SAM-Name geändert (SAM ist der Anmeldename, der zur Unterstützung von Clients und Servern mit früheren Versionen des Betriebssystems verwendet wird). |
Überwachte Benutzeraktivitäten: Ausführen Standard Controllerbasierte Benutzervorgänge
| überwachte Aktivitäten | Beschreibung |
|---|---|
| Verzeichnisdienstreplikation | Der Benutzer hat versucht, den Verzeichnisdienst zu replizieren. |
| DNS-Abfrage | Typ des Abfragebenutzers, der für den Do Standard-Controller ausgeführt wurde (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| gMSA Kennwortabruf | gMSA-Kontokennwort wurde von einem Benutzer abgerufen. Um diese Aktivität zu überwachen, muss das Ereignis 4662 erfasst werden. Weitere Informationen finden Sie unter Konfigurieren der Windows-Ereignissammlung. |
| LDAP-Abfrage | Der Benutzer hat eine LDAP-Abfrage ausgeführt. |
| Mögliche laterale Verschiebung | Eine Laterale Verschiebung wurde identifiziert. |
| PowerShell-Ausführung | Der Benutzer hat versucht, eine PowerShell-Methode remote auszuführen. |
| Abruf privater Daten | Der Benutzer hat versucht/erfolgreich private Daten mithilfe des LSARPC-Protokolls abzufragen. |
| Diensterstellung | Der Benutzer hat versucht, einen bestimmten Dienst remote auf einem Remotecomputer zu erstellen. |
| SMB-Sitzungsenumeration | Der Benutzer hat versucht, alle Benutzer mit geöffneten SMB-Sitzungen auf den Do Standard controllern auflisten zu lassen. |
| SMB-Dateikopie | Benutzer kopierte Dateien mit SMB |
| SAMR-Abfrage | Der Benutzer hat eine SAMR-Abfrage ausgeführt. |
| Aufgabenplanung | Der Benutzer hat versucht, X-Aufgabe remote auf einem Remotecomputer zu planen. |
| Wmi-Ausführung | Der Benutzer hat versucht, eine WMI-Methode remote auszuführen. |
Überwachte Benutzeraktivitäten: Anmeldevorgänge
Weitere Informationen finden Sie unter Unterstützte Anmeldetypen für die IdentityLogonEvents Tabelle.
Überwachte Computeraktivitäten: Computerkonto
| überwachte Aktivitäten | Beschreibung |
|---|---|
| Computerbetriebssystem geändert | Wechseln Sie zum Betriebssystem des Computers. |
| Verlauf und Änderungen | Änderungen am SID-Verlauf des Computers |