Activités surveillées Microsoft Defender pour Identity
Microsoft Defender pour Identity surveille les informations générées par l’Active Directory, les activités réseau et les activités d’événement de votre organisation pour détecter les activités suspectes. Les informations d’activité surveillées permettent à Defender pour Identity de vous aider à déterminer la validité de chaque menace potentielle et à trier et à répondre correctement.
Dans le cas d’une menace valide ou d’un vrai positif, Defender pour Identity vous permet de découvrir l’étendue de la violation pour chaque incident, d’examiner les entités impliquées et de déterminer comment les corriger.
Les informations surveillées par Defender pour Identity sont présentées sous la forme d’activités. Defender pour Identity prend actuellement en charge la surveillance des types d’activités suivants :
Remarque
- Cet article s’applique à tous les types de capteurs Defender pour Identity.
- Les activités surveillées par Defender pour Identity s’affichent sur la page de profil de l’utilisateur et de l’ordinateur.
- Les activités surveillées par Defender pour Identity sont également disponibles dans la page Repérage avancé de Microsoft Defender XDR.
Activités de l’utilisateur surveillées : modifications apportées aux attributs AD du compte d’utilisateur
| Activité surveillée | Description |
|---|---|
| État de délégation contrainte du compte modifié | L’état du compte est désormais activé ou désactivé pour la délégation. |
| SPN de délégation contrainte de compte modifié | La délégation contrainte restreint les services sur lesquels le serveur spécifié peut agir pour le compte d’un utilisateur. |
| Délégation de compte modifiée | Modifications apportées aux paramètres de délégation de compte |
| Compte désactivé modifié | Indique si un compte est activé ou désactivé. |
| Compte expiré | Date d’expiration du compte. |
| Heure d’expiration du compte modifiée | Changement de la date d’expiration du compte. |
| Compte verrouillé modifié | Modifications apportées aux paramètres de verrouillage du compte. |
| Mot de passe du compte modifié | L’utilisateur a changé son mot de passe. |
| Mot de passe du compte expiré | Le mot de passe de l’utilisateur a expiré. |
| Mot de passe du compte n’expire jamais modifié | Le mot de passe de l’utilisateur a changé pour ne jamais expirer. |
| Mot de passe du compte non requis modifié | Le compte de l’utilisateur a été modifié pour autoriser la connexion avec un mot de passe vide. |
| Carte intelligente du compte requise modifié | Modifications du compte pour exiger que les utilisateurs se connectent à un appareil à l’aide d’une carte intelligente. |
| Types de chiffrement pris en charge par le compte modifiés | Les types de chiffrement pris en charge par Kerberos ont été modifiés (types : Des, AES 129, AES 256) |
| Déverrouillage du compte modifié | Modifications apportées aux paramètres de déverrouillage du compte |
| Nom UPN du compte modifié | Le nom du principe de l’utilisateur a été modifié. |
| Appartenance au groupe modifiée | L’utilisateur a été ajouté/supprimé à/d’un groupe, par un autre utilisateur ou par lui-même. |
| E-mail de l’utilisateur modifié | L’attribut e-mail des utilisateurs a été modifié. |
| Gestionnaire des utilisateurs modifié | L’attribut gestionnaire des utilisateurs a été modifié. |
| Numéro de téléphone de l’utilisateur modifié | L’attribut du numéro de téléphone de l’utilisateur a été modifié. |
| Titre de l’utilisateur modifié | L’attribut de titre de l’utilisateur a été modifié. |
Activités de l’utilisateur surveillées : opérations du principal de sécurité AD
| Activité surveillée | Description |
|---|---|
| Compte d’ordinateur créé | Le compte d’ordinateur a été créé |
| Principal de sécurité supprimé modifié | Le compte a été supprimé/restauré (utilisateur et ordinateur). |
| Nom complet du principal de sécurité modifié | Le nom complet du compte a été modifié de X à Y. |
| Nom de principal de sécurité modifié | L’attribut de nom de compte a été modifié. |
| Chemin d’accès du principal de sécurité modifié | Le nom unique du compte a été modifié de X à Y. |
| Nom de principal de sécurité SAM modifié | Nom SAM modifié (Le SAM est le nom d’ouverture de session permettant de prendre en charge les clients et les serveurs exécutant des versions antérieures du système d’exploitation). |
Activités de l’utilisateur surveillées : opérations utilisateur basées sur un contrôleur de domaine
| Activité surveillée | Description |
|---|---|
| Réplication du service d’annuaire | L’utilisateur a essayé de répliquer le service d’annuaire. |
| Requête DNS | Type d’utilisateur de requête effectué sur le contrôleur de domaine (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| Récupération du mot de passe gMSA | Le mot de passe du compte gMSA a été récupéré par un utilisateur. Pour surveiller cette activité, l’événement 4662 doit être collecté. Pour plus d’informations, consultez Configurer la collection d’événements Windows. |
| Requête LDAP | L’utilisateur a effectué une requête LDAP. |
| Mouvement latéral potentiel | Un mouvement latéral a été identifié. |
| Exécution de PowerShell | L’utilisateur a tenté d’exécuter à distance une méthode PowerShell. |
| Extraction de données privées | L’utilisateur a tenté/réussi à interroger des données privées à l’aide du protocole LSARPC. |
| Création de service | L’utilisateur a tenté de créer à distance un service spécifique sur un ordinateur distant. |
| Énumération de sessions SMB | L’utilisateur a tenté d’énumérer tous les utilisateurs avec des sessions SMB ouvertes sur les contrôleurs de domaine. |
| Copie de fichier SMB | L’utilisateur a copié des fichiers à l’aide de SMB |
| Requête SAMR | L’utilisateur a effectué une requête SAMR. |
| Planification des tâches | L’utilisateur a essayé de planifier à distance une tâche X sur un ordinateur distant. |
| Exécution de WMI | L’utilisateur a tenté d’exécuter à distance une méthode WMI. |
Activités de l’utilisateur surveillées : opérations de connexion
Pour plus d’informations, consultez Types d’ouverture de session pris en charge pour la IdentityLogonEvents table.
Activités d’ordinateur surveillées : compte d’ordinateur
| Activité surveillée | Description |
|---|---|
| Système d’exploitation de l’ordinateur modifié | Modification apportée au système d’exploitation de l’ordinateur. |
| Historique SID modifié | Modifications apportées à l’historique SID de l’ordinateur |