Partager via


Activités surveillées Microsoft Defender pour Identity

Microsoft Defender pour Identity surveille les informations générées par l’Active Directory, les activités réseau et les activités d’événement de votre organisation pour détecter les activités suspectes. Les informations d’activité surveillées permettent à Defender pour Identity de vous aider à déterminer la validité de chaque menace potentielle et à trier et à répondre correctement.

Dans le cas d’une menace valide ou d’un vrai positif, Defender pour Identity vous permet de découvrir l’étendue de la violation pour chaque incident, d’examiner les entités impliquées et de déterminer comment les corriger.

Les informations surveillées par Defender pour Identity sont présentées sous la forme d’activités. Defender pour Identity prend actuellement en charge la surveillance des types d’activités suivants :

Remarque

  • Cet article s’applique à tous les types de capteurs Defender pour Identity.
  • Les activités surveillées par Defender pour Identity s’affichent sur la page de profil de l’utilisateur et de l’ordinateur.
  • Les activités surveillées par Defender pour Identity sont également disponibles dans la page Repérage avancé de Microsoft Defender XDR.

Activités de l’utilisateur surveillées : modifications apportées aux attributs AD du compte d’utilisateur

Activité surveillée Description
État de délégation contrainte du compte modifié L’état du compte est désormais activé ou désactivé pour la délégation.
SPN de délégation contrainte de compte modifié La délégation contrainte restreint les services sur lesquels le serveur spécifié peut agir pour le compte d’un utilisateur.
Délégation de compte modifiée Modifications apportées aux paramètres de délégation de compte
Compte désactivé modifié Indique si un compte est activé ou désactivé.
Compte expiré Date d’expiration du compte.
Heure d’expiration du compte modifiée Changement de la date d’expiration du compte.
Compte verrouillé modifié Modifications apportées aux paramètres de verrouillage du compte.
Mot de passe du compte modifié L’utilisateur a changé son mot de passe.
Mot de passe du compte expiré Le mot de passe de l’utilisateur a expiré.
Mot de passe du compte n’expire jamais modifié Le mot de passe de l’utilisateur a changé pour ne jamais expirer.
Mot de passe du compte non requis modifié Le compte de l’utilisateur a été modifié pour autoriser la connexion avec un mot de passe vide.
Carte intelligente du compte requise modifié Modifications du compte pour exiger que les utilisateurs se connectent à un appareil à l’aide d’une carte intelligente.
Types de chiffrement pris en charge par le compte modifiés Les types de chiffrement pris en charge par Kerberos ont été modifiés (types : Des, AES 129, AES 256)
Déverrouillage du compte modifié Modifications apportées aux paramètres de déverrouillage du compte
Nom UPN du compte modifié Le nom du principe de l’utilisateur a été modifié.
Appartenance au groupe modifiée L’utilisateur a été ajouté/supprimé à/d’un groupe, par un autre utilisateur ou par lui-même.
E-mail de l’utilisateur modifié L’attribut e-mail des utilisateurs a été modifié.
Gestionnaire des utilisateurs modifié L’attribut gestionnaire des utilisateurs a été modifié.
Numéro de téléphone de l’utilisateur modifié L’attribut du numéro de téléphone de l’utilisateur a été modifié.
Titre de l’utilisateur modifié L’attribut de titre de l’utilisateur a été modifié.

Activités de l’utilisateur surveillées : opérations du principal de sécurité AD

Activité surveillée Description
Compte d’utilisateur créé Un compte d’utilisateur a été créé
Compte d’ordinateur créé Le compte d’ordinateur a été créé
Principal de sécurité supprimé modifié Le compte a été supprimé/restauré (utilisateur et ordinateur).
Nom complet du principal de sécurité modifié Le nom complet du compte a été modifié de X à Y.
Nom de principal de sécurité modifié L’attribut de nom de compte a été modifié.
Chemin d’accès du principal de sécurité modifié Le nom unique du compte a été modifié de X à Y.
Nom de principal de sécurité SAM modifié Nom SAM modifié (Le SAM est le nom d’ouverture de session permettant de prendre en charge les clients et les serveurs exécutant des versions antérieures du système d’exploitation).

Activités de l’utilisateur surveillées : opérations utilisateur basées sur un contrôleur de domaine

Activité surveillée Description
Réplication du service d’annuaire L’utilisateur a essayé de répliquer le service d’annuaire.
Requête DNS Type d’utilisateur de requête effectué sur le contrôleur de domaine (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY).
Récupération du mot de passe gMSA Le mot de passe du compte gMSA a été récupéré par un utilisateur.
Pour surveiller cette activité, l’événement 4662 doit être collecté. Pour plus d’informations, consultez Configurer la collection d’événements Windows.
Requête LDAP L’utilisateur a effectué une requête LDAP.
Mouvement latéral potentiel Un mouvement latéral a été identifié.
Exécution de PowerShell L’utilisateur a tenté d’exécuter à distance une méthode PowerShell.
Extraction de données privées L’utilisateur a tenté/réussi à interroger des données privées à l’aide du protocole LSARPC.
Création de service L’utilisateur a tenté de créer à distance un service spécifique sur un ordinateur distant.
Énumération de sessions SMB L’utilisateur a tenté d’énumérer tous les utilisateurs avec des sessions SMB ouvertes sur les contrôleurs de domaine.
Copie de fichier SMB L’utilisateur a copié des fichiers à l’aide de SMB
Requête SAMR L’utilisateur a effectué une requête SAMR.
Planification des tâches L’utilisateur a essayé de planifier à distance une tâche X sur un ordinateur distant.
Exécution de WMI L’utilisateur a tenté d’exécuter à distance une méthode WMI.

Activités de l’utilisateur surveillées : opérations de connexion

Pour en savoir plus, consultez Types d’ouverture de session pris en charge pour la table IdentityLogonEvents.

Activités d’ordinateur surveillées : compte d’ordinateur

Activité surveillée Description
Système d’exploitation de l’ordinateur modifié Modification apportée au système d’exploitation de l’ordinateur.
Historique SID modifié Modifications apportées à l’historique SID de l’ordinateur

Voir aussi