Actividades supervisadas de Microsoft Defender for Identity
Microsoft Defender for Identity supervisa la información generada a partir de Active Directory de su organización, actividades de red y actividades de eventos para detectar actividades sospechosas. La información de actividad supervisada permite a Defender for Identity ayudarlo a determinar la validez de cada amenaza potencial y evaluar y responder correctamente.
En el caso de una amenaza válida o un verdadero positivo, Defender for Identity permite detectar el ámbito de la infracción de cada incidente, investigar qué entidades están implicadas y determinar cómo corregirlas.
La información supervisada por Defender for Identity se presenta en forma de actividades. Defender for Identity admite actualmente la supervisión de los siguientes tipos de actividad:
Nota:
- Este artículo es relevante para todos los tipos de sensor de Defender for Identity.
- Las actividades supervisadas de Defender for Identity aparecen en la página de perfil de usuario y máquina.
- Las actividades supervisadas de Defender for Identity también están disponibles en la página Búsqueda avanzada fr Microsoft Defender XDR.
Actividades de usuario supervisadas: cambios en el atributo de AD de la cuenta de usuario
| Actividades supervisadas | Descripción |
|---|---|
| Estado de delegación restringido de cuenta cambiado | El estado de la cuenta ahora está habilitado o deshabilitado para la delegación. |
| SPN de delegación restringida de cuenta cambiado | La delegación restringida limita los servicios en los que puede actuar un servidor determinado en nombre de un usuario. |
| Delegación de cuenta cambiada | Cambios en la configuración de delegación de cuentas |
| Cuenta deshabilitada modificada | Indica si una cuenta está habilitada o deshabilitada. |
| Cuenta expirada | Fecha en que expira la cuenta. |
| Hora de expiración de la cuenta cambiada | Cambie a la fecha en que expira la cuenta. |
| Cuenta bloqueada cambiada | Cambios en la configuración de bloqueo de la cuenta. |
| Contraseña de la cuenta cambiada | El usuario cambió su contraseña. |
| La contraseña de la cuenta ha expirado | La contraseña del usuario ha expirado. |
| Contraseña sin vencimiento cambiada | La contraseña del usuario ha cambiado para que nunca expire. |
| No se requiere contraseña de cuenta modificada | Se cambió la cuenta de usuario para permitir el inicio de sesión con una contraseña en blanco. |
| Tarjeta inteligente de cuenta requerida modificada | Cambios en la cuenta para requerir que los usuarios inicien sesión en un dispositivo mediante una tarjeta inteligente. |
| Se cambiaron los tipos de cifrado admitidos por la cuenta | Se cambiaron los tipos de cifrado admitidos por Kerberos (tipos: Des, AES 129, AES 256) |
| Desbloqueo de cuenta cambiado | Cambios en la configuración de desbloqueo de la cuenta |
| Nombre de UPN de cuenta cambiado | Se cambió el nombre principal del usuario. |
| Pertenencia a grupos cambiada | El usuario se agregó/quitó, a/desde un grupo, por otro usuario o por sí mismo. |
| Correo de usuario cambiado | Se cambió el atributo de correo electrónico de los usuarios. |
| Administrador de usuarios cambiado | Se cambió el atributo de administrador del usuario. |
| Número de teléfono de usuario cambiado | Se cambió el atributo de número de teléfono del usuario. |
| Título del usuario cambiado | Se cambió el atributo del título del usuario. |
Actividades de usuario supervisadas: operaciones de entidad de seguridad de AD
| Actividades supervisadas | Descripción |
|---|---|
| Cuenta de equipo creada | Se creó la cuenta de equipo |
| Eliminación de la entidad de seguridad cambiada | La cuenta se eliminó/restauró (tanto el usuario como el equipo). |
| Se ha cambiado el nombre para mostrar de la entidad de seguridad | El nombre para mostrar de la cuenta se cambió de X a Y. |
| Nombre de entidad de seguridad cambiado | Se cambió el atributo de nombre de cuenta. |
| Ruta de acceso de la entidad de seguridad cambiada | El nombre distintivo de la cuenta se cambió de X a Y. |
| Nombre Sam de la entidad de seguridad cambiado | El nombre de SAM cambió (SAM es el nombre de inicio de sesión que se usa para admitir clientes y servidores que ejecutan versiones anteriores de un sistema operativo). |
Actividades de usuario supervisadas: operaciones de usuario basadas en controlador de dominio
| Actividades supervisadas | Descripción |
|---|---|
| Replicación de servicio de directorio | El usuario intentó replicar el servicio de directorio. |
| Consulta DNS | Tipo de consulta realizada por el usuario en el controlador de dominio (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| Recuperación de contraseñas de gMSA | Un usuario recuperó la contraseña de la cuenta de gMSA. Para supervisar esta actividad, se debe recopilar el evento 4662. Para más información, consulte Configuración de colecciones de Windows Event. |
| Consulta LDAP | El usuario realizó una consulta LDAP. |
| Movimiento lateral potencial | Se identificó un movimiento lateral. |
| Ejecución de PowerShell | El usuario intentó ejecutar de forma remota un método de PowerShell. |
| Recuperación de datos privados | El usuario intentó/realizó correctamente la consulta de datos privados mediante el protocolo LSARPC. |
| Creación de servicios | El usuario intentó crear de forma remota un servicio específico en una máquina remota. |
| Enumeración de sesiones SMB | El usuario intentó enumerar todos los usuarios con sesiones SMB abiertas en los controladores de dominio. |
| Copia de archivos SMB | Archivos copiados por el usuario mediante SMB |
| Consulta SAMR | El usuario realizó una consulta SAMR. |
| Programación de tareas | El usuario intentó programar de forma remota la tarea X en una máquina remota. |
| Ejecución de Wmi | El usuario intentó ejecutar de forma remota un método WMI. |
Actividades de usuario supervisadas: operaciones de inicio de sesión
Para obtener más información, consulte Tipos de inicio de sesión admitidos para la tabla IdentityLogonEvents.
Actividades de máquina supervisadas: cuenta de máquina
| Actividades supervisadas | Descripción |
|---|---|
| Sistema operativo del equipo cambiado | Cambio en al sistema operativo del equipo. |
| Historial de SID cambiado | Cambios en el historial de SID del equipo |