Microsoft Defender for Identity monitorozott tevékenységek
A Microsoft Defender for Identity a szervezet Active Directoryjából, hálózati tevékenységeiből és eseménytevékenységeiből származó információkat figyeli a gyanús tevékenységek észleléséhez. A figyelt tevékenységinformációk lehetővé teszik a Defender for Identity számára, hogy segítsen meghatározni az egyes lehetséges fenyegetések érvényességét, valamint a megfelelő osztályozást és válaszadást.
Érvényes vagy valódi pozitív fenyegetés esetén a Defender for Identity lehetővé teszi az incidensek hatókörének felderítését, az érintett entitások kivizsgálását és azok elhárításának módját.
A Defender for Identity által figyelt információk tevékenységek formájában jelennek meg. A Defender for Identity jelenleg a következő tevékenységtípusok monitorozását támogatja:
Feljegyzés
- Ez a cikk az identitásérzékelőkhöz készült Defender összes típusára vonatkozik.
- A Defender for Identity által figyelt tevékenységek mind a felhasználói, mind a gépi profil lapon megjelennek.
- A Defender for Identity által figyelt tevékenységek a Microsoft Defender XDR Speciális vadászat lapján is elérhetők.
Figyelt felhasználói tevékenységek: Felhasználói fiók AD-attribútumának változásai
| Figyelt tevékenység | Leírás |
|---|---|
| A fiók korlátozott delegálási állapota megváltozott | A fiók állapota mostantól engedélyezve van vagy le van tiltva a delegáláshoz. |
| A fiók korlátozott delegálási SPN-jei megváltoztak | A korlátozott delegálás korlátozza azokat a szolgáltatásokat, amelyekre a megadott kiszolgáló a felhasználó nevében eljárhat. |
| Módosult a fiókdelegálás | A fiókdelegálási beállítások módosítása |
| A fiók le van tiltva | Azt jelzi, hogy egy fiók le van-e tiltva vagy engedélyezve van-e. |
| Lejárt fiók | A fiók lejáratának dátuma. |
| A fiók lejárati ideje módosult | Módosítsa a fiók lejáratának dátumát. |
| A zárolt fiók megváltozott | A fiókzárolási beállítások módosítása. |
| A fiók jelszava megváltozott | A felhasználó módosította a jelszavát. |
| Fiók jelszava lejárt | A felhasználó jelszava lejárt. |
| A fiók jelszava soha nem jár le. | A felhasználó jelszava úgy módosult, hogy soha ne járjon le. |
| A fiók jelszava nem kötelező, módosítva | A felhasználói fiókot úgy módosították, hogy üres jelszóval lehessen bejelentkezni. |
| A fiók intelligens kártyája kötelezően módosult | A fiókmódosítások megkövetelik, hogy a felhasználók intelligens kártya használatával jelentkezzenek be egy eszközre. |
| A fiók által támogatott titkosítási típusok módosultak | A Kerberos által támogatott titkosítási típusok módosultak (típusok: Des, AES 129, AES 256) |
| Módosult a fiók zárolásának feloldása | A fiók zárolásának feloldására vonatkozó beállítások módosítása |
| Fiók UPN-neve módosult | A felhasználó alapelvének neve megváltozott. |
| Csoporttagság módosult | A felhasználót egy másik felhasználó vagy saját maga adta hozzá/távolította el egy csoportból vagy csoportból. |
| A felhasználói e-mail megváltozott | A felhasználók e-mail attribútuma megváltozott. |
| A User Manager megváltozott | A felhasználó kezelő attribútuma megváltozott. |
| Felhasználó Telefon száma megváltozott | A felhasználó telefonszámattribútuma megváltozott. |
| A felhasználói cím megváltozott | A felhasználó címattribútuma megváltozott. |
Figyelt felhasználói tevékenységek: AD biztonsági egyszerű műveletek
| Figyelt tevékenység | Leírás |
|---|---|
| Számítógépfiók létrehozva | Számítógépfiók jött létre |
| A rendszerbiztonsági tag törölve lett | A fiókot törölték/visszaállították (felhasználó és számítógép egyaránt). |
| A biztonsági egyszerű megjelenítendő név módosult | A fiók megjelenítendő neve X-ről Y-ra módosult. |
| A biztonsági egyszerű név módosult | A fióknév attribútum módosult. |
| A biztonsági egyszerű elérési út módosult | A fiók megkülönböztető neve X-ről Y-ra módosult. |
| A biztonsági egyszerű sam neve megváltozott | A SAM-név megváltozott (a SAM az operációs rendszer korábbi verzióit futtató ügyfelek és kiszolgálók támogatásához használt bejelentkezési név). |
Figyelt felhasználói tevékenységek: Tartományvezérlő-alapú felhasználói műveletek
| Figyelt tevékenység | Leírás |
|---|---|
| Címtárszolgáltatás replikációja | A felhasználó megpróbálta replikálni a címtárszolgáltatást. |
| DNS-lekérdezés | A tartományvezérlőn (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY) végrehajtott lekérdezésfelhasználó típusa. |
| gMSA jelszólekérés | A gMSA-fiók jelszavát egy felhasználó lekérte. A tevékenység figyeléséhez a 4662-s eseményt kell összegyűjteni. További információ: Windows-eseménygyűjtemény konfigurálása. |
| LDAP-lekérdezés | A felhasználó LDAP-lekérdezést hajtott végre. |
| Lehetséges oldalirányú mozgás | Egy oldalirányú mozgást azonosítottak. |
| PowerShell-végrehajtás | A felhasználó megkísérelt távolról végrehajtani egy PowerShell-metódust. |
| Személyes adatok lekérése | A felhasználó megkísérelte/sikerült lekérdezni a személyes adatokat az LSARPC protokoll használatával. |
| Szolgáltatás létrehozása | A felhasználó megpróbált távolról létrehozni egy adott szolgáltatást egy távoli gépen. |
| SMB-munkamenet számbavétele | A felhasználó megpróbálta számba adni az összes olyan felhasználót, aki nyitott SMB-munkameneteket futtat a tartományvezérlőken. |
| SMB-fájl másolása | A felhasználó az SMB használatával másolt fájlokat |
| SAMR-lekérdezés | A felhasználó SAMR-lekérdezést hajtott végre. |
| Tevékenységütemezés | A felhasználó megpróbálta távolról ütemezni az X-feladatot egy távoli gépre. |
| Wmi-végrehajtás | A felhasználó megkísérelt távolról végrehajtani egy WMI-metódust. |
Figyelt felhasználói tevékenységek: Bejelentkezési műveletek
További információ: A tábla támogatott bejelentkezési típusaiIdentityLogonEvents.
Monitorozott gépi tevékenységek: Gépfiók
| Figyelt tevékenység | Leírás |
|---|---|
| A számítógép operációs rendszere megváltozott | Váltson a számítógép operációs rendszerének módosítására. |
| A BIZTONSÁGI AZONOSÍTÓ előzményei megváltoztak | A számítógép SID-előzményeinek módosítása |