Microsoft Defender for Identity monitorozott tevékenységek
A Microsoft Defender for Identity a szervezet Active Directoryjából, hálózati tevékenységeiből és eseménytevékenységeiből származó információkat figyeli a gyanús tevékenységek észleléséhez. A figyelt tevékenységinformációk lehetővé teszik a Defender for Identity számára, hogy segítsen meghatározni az egyes lehetséges fenyegetések érvényességét, valamint a megfelelő osztályozást és válaszadást.
Érvényes vagy valódi pozitív fenyegetés esetén a Defender for Identity lehetővé teszi az incidensek hatókörének felderítését, az érintett entitások kivizsgálását és azok elhárításának módját.
A Defender for Identity által figyelt információk tevékenységek formájában jelennek meg. A Defender for Identity jelenleg a következő tevékenységtípusok monitorozását támogatja:
Feljegyzés
- Ez a cikk az identitásérzékelőkhöz készült Defender összes típusára vonatkozik.
- A Defender for Identity által figyelt tevékenységek mind a felhasználói, mind a gépi profil lapon megjelennek.
- A Defender for Identity által figyelt tevékenységek a Microsoft Defender XDR Speciális vadászat lapján is elérhetők.
Figyelt felhasználói tevékenységek: Felhasználói fiók AD-attribútumának változásai
Figyelt tevékenység | Leírás |
---|---|
A fiók korlátozott delegálási állapota megváltozott | A fiók állapota mostantól engedélyezve van vagy le van tiltva a delegáláshoz. |
A fiók korlátozott delegálási SPN-jei megváltoztak | A korlátozott delegálás korlátozza azokat a szolgáltatásokat, amelyekre a megadott kiszolgáló a felhasználó nevében eljárhat. |
Módosult a fiókdelegálás | A fiókdelegálási beállítások módosítása |
A fiók le van tiltva | Azt jelzi, hogy egy fiók le van-e tiltva vagy engedélyezve van-e. |
Lejárt fiók | A fiók lejáratának dátuma. |
A fiók lejárati ideje módosult | Módosítsa a fiók lejáratának dátumát. |
A zárolt fiók megváltozott | A fiókzárolási beállítások módosítása. |
A fiók jelszava megváltozott | A felhasználó módosította a jelszavát. |
Fiók jelszava lejárt | A felhasználó jelszava lejárt. |
A fiók jelszava soha nem jár le. | A felhasználó jelszava úgy módosult, hogy soha ne járjon le. |
A fiók jelszava nem kötelező, módosítva | A felhasználói fiókot úgy módosították, hogy üres jelszóval lehessen bejelentkezni. |
A fiók intelligens kártyája kötelezően módosult | A fiókmódosítások megkövetelik, hogy a felhasználók intelligens kártya használatával jelentkezzenek be egy eszközre. |
A fiók által támogatott titkosítási típusok módosultak | A Kerberos által támogatott titkosítási típusok módosultak (típusok: Des, AES 129, AES 256) |
Módosult a fiók zárolásának feloldása | A fiók zárolásának feloldására vonatkozó beállítások módosítása |
Fiók UPN-neve módosult | A felhasználó alapelvének neve megváltozott. |
Csoporttagság módosult | A felhasználót egy másik felhasználó vagy saját maga adta hozzá/távolította el egy csoportból vagy csoportból. |
A felhasználói e-mail megváltozott | A felhasználók e-mail attribútuma megváltozott. |
A User Manager megváltozott | A felhasználó kezelő attribútuma megváltozott. |
Felhasználó Telefon száma megváltozott | A felhasználó telefonszámattribútuma megváltozott. |
A felhasználói cím megváltozott | A felhasználó címattribútuma megváltozott. |
Figyelt felhasználói tevékenységek: AD biztonsági egyszerű műveletek
Figyelt tevékenység | Leírás |
---|---|
Számítógépfiók létrehozva | Számítógépfiók jött létre |
A rendszerbiztonsági tag törölve lett | A fiókot törölték/visszaállították (felhasználó és számítógép egyaránt). |
A biztonsági egyszerű megjelenítendő név módosult | A fiók megjelenítendő neve X-ről Y-ra módosult. |
A biztonsági egyszerű név módosult | A fióknév attribútum módosult. |
A biztonsági egyszerű elérési út módosult | A fiók megkülönböztető neve X-ről Y-ra módosult. |
A biztonsági egyszerű sam neve megváltozott | A SAM-név megváltozott (a SAM az operációs rendszer korábbi verzióit futtató ügyfelek és kiszolgálók támogatásához használt bejelentkezési név). |
Figyelt felhasználói tevékenységek: Tartományvezérlő-alapú felhasználói műveletek
Figyelt tevékenység | Leírás |
---|---|
Címtárszolgáltatás replikációja | A felhasználó megpróbálta replikálni a címtárszolgáltatást. |
DNS-lekérdezés | A tartományvezérlőn (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY) végrehajtott lekérdezésfelhasználó típusa. |
gMSA jelszólekérés | A gMSA-fiók jelszavát egy felhasználó lekérte. A tevékenység figyeléséhez a 4662-s eseményt kell összegyűjteni. További információ: Windows-eseménygyűjtemény konfigurálása. |
LDAP-lekérdezés | A felhasználó LDAP-lekérdezést hajtott végre. |
Lehetséges oldalirányú mozgás | Egy oldalirányú mozgást azonosítottak. |
PowerShell-végrehajtás | A felhasználó megkísérelt távolról végrehajtani egy PowerShell-metódust. |
Személyes adatok lekérése | A felhasználó megkísérelte/sikerült lekérdezni a személyes adatokat az LSARPC protokoll használatával. |
Szolgáltatás létrehozása | A felhasználó megpróbált távolról létrehozni egy adott szolgáltatást egy távoli gépen. |
SMB-munkamenet számbavétele | A felhasználó megpróbálta számba adni az összes olyan felhasználót, aki nyitott SMB-munkameneteket futtat a tartományvezérlőken. |
SMB-fájl másolása | A felhasználó az SMB használatával másolt fájlokat |
SAMR-lekérdezés | A felhasználó SAMR-lekérdezést hajtott végre. |
Tevékenységütemezés | A felhasználó megpróbálta távolról ütemezni az X-feladatot egy távoli gépre. |
Wmi-végrehajtás | A felhasználó megkísérelt távolról végrehajtani egy WMI-metódust. |
Figyelt felhasználói tevékenységek: Bejelentkezési műveletek
További információ: A tábla támogatott bejelentkezési típusaiIdentityLogonEvents
.
Monitorozott gépi tevékenységek: Gépfiók
Figyelt tevékenység | Leírás |
---|---|
A számítógép operációs rendszere megváltozott | Váltson a számítógép operációs rendszerének módosítására. |
A BIZTONSÁGI AZONOSÍTÓ előzményei megváltoztak | A számítógép SID-előzményeinek módosítása |