Freigeben über


Weitere Informationen finden Sie unter Überwachte Aktivitäten mit Microsoft Defender for Identity

Microsoft Defender for Identity überwacht Informationen, die aus active Directory, Netzwerkaktivitäten und Ereignisaktivitäten Ihrer Organisation generiert werden, um verdächtige Aktivitäten zu erkennen. Mithilfe der überwachten Aktivitätsinformationen können Sie Defender for Identity dabei unterstützen, die Gültigkeit der einzelnen potenziellen Bedrohungen zu ermitteln und korrekt zu triagen und zu reagieren.

Im Falle einer gültigen Bedrohung oder eines echten Positiven ermöglicht Ihnen Defender for Identity, den Umfang der Verletzung für jeden Vorfall zu ermitteln, zu untersuchen, welche Entitäten beteiligt sind, und zu bestimmen, wie sie behoben werden.

Die von Defender for Identity überwachten Informationen werden in Form von Aktivitäten dargestellt. Defender for Identity unterstützt derzeit die Überwachung der folgenden Aktivitätstypen:

Hinweis

  • Dieser Artikel ist für alle Defender for Identity-Sensortypen relevant.
  • Überwachte Aktivitäten von Defender for Identity werden sowohl auf der Benutzer- als auch auf der Computerprofilseite angezeigt.
  • Überwachte Aktivitäten von Defender for Identity sind auch auf der Seite "Erweiterte Bedrohungssuche" von Microsoft Defender XDR verfügbar.

Überwachte Benutzeraktivitäten: Änderungen des AD-Attributs des Benutzerkontos

überwachte Aktivitäten Beschreibung
Konto eingeschränkter Delegierungsstatus geändert Der Kontostatus ist jetzt für die Delegierung aktiviert oder deaktiviert.
Eingeschränkte Kontodelegierungs-SPNs geändert Wenn dieses Feature konfiguriert ist, beschränkt die eingeschränkte Delegierung die Dienste, für die ein angegebener Server im Auftrag eines Benutzers agieren kann.
Kontodelegierung geändert Änderungen an den Kontodelegierungseinstellungen
Konto deaktiviert geändert Hiermit wird angegeben, ob die -Einstellung aktiviert oder deaktiviert ist.
Konto abgelaufen Datum, an dem das Konto abläuft.
Kontoablaufzeit geändert Ändern Sie das Datum, an dem das Konto abläuft.
Konto gesperrt geändert Änderungen an den Kontosperreinstellungen.
Änderung des Kontokennworts Der Benutzer hat das Kennwort geändert.
Das Kontokennwort ist abgelaufen. Das Kennwort des Benutzers ist abgelaufen.
Kontokennwort läuft nie geändert ab Das Kennwort des Benutzers wurde so geändert, dass es nie abläuft.
Kontokennwort nicht erforderlich geändert Das Benutzerkonto wurde geändert, um die Anmeldung mit einem leeren Kennwort zuzulassen.
Konto smart Karte Erforderlich geändert Kontoänderungen erfordern, dass Benutzer sich mit einem intelligenten Karte bei einem Gerät anmelden müssen.
Konto unterstützte Verschlüsselungstypen geändert Kerberos unterstützte Verschlüsselungstypen wurden geändert (Typen: Des, AES 129, AES 256)
Kontosperrung geändert Änderungen an den Einstellungen für die Kontosperrung
Konto-UPN-Name geändert Der Prinzipname des Benutzers wurde geändert.
Änderungen an der Gruppenmitgliedschaft Der Benutzer wurde von einem anderen Benutzer oder von sich selbst zu/aus einer Gruppe hinzugefügt/daraus entfernt.
Benutzer-E-Mail geändert Benutzer-E-Mail-Attribut wurde geändert.
Benutzer-Manager geändert Das Manager-Attribut des Benutzers wurde geändert.
Benutzer Telefon Geänderte Nummer Das Telefonnummern-Attribut des Benutzers wurde geändert.
Benutzertitel geändert Das Titelattribute des Benutzers wurde geändert.

Überwachte Benutzeraktivitäten: AD-Sicherheitsprinzipalvorgänge

überwachte Aktivitäten Beschreibung
Benutzerkonto erstellt Benutzerkonto wurde erstellt
Computerkonto erstellt Computerkonto wurde erstellt
Sicherheitsprinzipal gelöscht Das Konto wurde gelöscht/wiederhergestellt (sowohl Benutzer als auch Computer).
Anzeigename des Sicherheitsprinzipals geändert Der Anzeigename des Kontos wurde von X zu Y geändert.
Sicherheitsprinzipalname geändert Das Attribut "Kontoname" wurde geändert.
Sicherheitsprinzipalpfad geändert Der Name "Account Distinguished" wurde von X zu Y geändert.
Sicherheitsprinzipalname "Sam" geändert SAM-Name geändert (SAM ist der Anmeldename, der zur Unterstützung von Clients und Servern mit früheren Versionen des Betriebssystems verwendet wird).

Überwachte Benutzeraktivitäten: Ausführen Standard Controllerbasierte Benutzervorgänge

überwachte Aktivitäten Beschreibung
Verzeichnisdienstreplikation Der Benutzer hat versucht, den Verzeichnisdienst zu replizieren.
DNS-Abfrage Typ des Abfragebenutzers, der für den Do Standard-Controller ausgeführt wurde (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY).
gMSA Kennwortabruf gMSA-Kontokennwort wurde von einem Benutzer abgerufen.
Um diese Aktivität zu überwachen, muss das Ereignis 4662 erfasst werden. Weitere Informationen finden Sie unter Konfigurieren der Windows-Ereignissammlung.
LDAP-Abfrage Der Benutzer hat eine LDAP-Abfrage ausgeführt.
Mögliche laterale Verschiebung Eine Laterale Verschiebung wurde identifiziert.
PowerShell-Ausführung Der Benutzer hat versucht, eine PowerShell-Methode remote auszuführen.
Abruf privater Daten Der Benutzer hat versucht/erfolgreich private Daten mithilfe des LSARPC-Protokolls abzufragen.
Diensterstellung Der Benutzer hat versucht, einen bestimmten Dienst remote auf einem Remotecomputer zu erstellen.
SMB-Sitzungsenumeration Der Benutzer hat versucht, alle Benutzer mit geöffneten SMB-Sitzungen auf den Do Standard controllern auflisten zu lassen.
SMB-Dateikopie Benutzer kopierte Dateien mit SMB
SAMR-Abfrage Der Benutzer hat eine SAMR-Abfrage ausgeführt.
Aufgabenplanung Der Benutzer hat versucht, X-Aufgabe remote auf einem Remotecomputer zu planen.
Wmi-Ausführung Der Benutzer hat versucht, eine WMI-Methode remote auszuführen.

Überwachte Benutzeraktivitäten: Anmeldevorgänge

Weitere Informationen finden Sie unter Unterstützte Anmeldetypen für die IdentityLogonEvents Tabelle.

Überwachte Computeraktivitäten: Computerkonto

überwachte Aktivitäten Beschreibung
Computerbetriebssystem geändert Wechseln Sie zum Betriebssystem des Computers.
Verlauf und Änderungen Änderungen am SID-Verlauf des Computers

Weitere Informationen