Microsoft Defender untuk Identitas aktivitas yang dipantau
Microsoft Defender untuk Identitas memantau informasi yang dihasilkan dari Direktori Aktif, aktivitas jaringan, dan aktivitas peristiwa organisasi Anda untuk mendeteksi aktivitas yang mencurigakan. Informasi aktivitas yang dipantau memungkinkan Defender for Identity untuk membantu Anda menentukan validitas setiap potensi ancaman dan melakukan triase dan respons dengan benar.
Dalam kasus ancaman yang valid, atau positif sejati, Defender for Identity memungkinkan Anda menemukan cakupan pelanggaran untuk setiap insiden, menyelidiki entitas mana yang terlibat, dan menentukan cara memulihkannya.
Informasi yang dipantau oleh Defender for Identity disajikan dalam bentuk kegiatan. Defender for Identity saat ini mendukung pemantauan jenis aktivitas berikut:
Catatan
- Artikel ini relevan untuk semua jenis sensor Defender for Identity.
- Aktivitas yang dipantau Defender untuk Identitas muncul di halaman profil pengguna dan komputer.
- Aktivitas yang dipantau Defender untuk Identitas juga tersedia di halaman Perburuan Tingkat Lanjut Pertahanan Microsoft XDR.
Aktivitas pengguna yang dipantau: Perubahan atribut AD akun pengguna
| Aktivitas yang dipantau | Deskripsi |
|---|---|
| Status Delegasi Yang Dibatasi Akun Diubah | Status akun sekarang diaktifkan atau dinonaktifkan untuk delegasi. |
| SPN Delegasi Yang Dibatasi Akun Diubah | Delegasi yang dibatasi membatasi layanan yang dapat ditindaklanjuti oleh server yang ditentukan atas nama pengguna. |
| Delegasi Akun Diubah | Perubahan pada pengaturan delegasi akun |
| Akun Dinonaktifkan Diubah | Menunjukkan apakah akun dinonaktifkan atau diaktifkan. |
| Akun Kedaluwarsa | Tanggal saat akun kedaluwarsa. |
| Waktu Kedaluwarsa Akun Diubah | Ubah ke tanggal saat akun kedaluwarsa. |
| Akun Dikunci Diubah | Perubahan pada pengaturan kunci akun. |
| Kata Sandi Akun Diubah | Pengguna mengubah kata sandi mereka. |
| Kata Sandi Akun Kedaluwarsa | Kata sandi pengguna kedaluwarsa. |
| Kata Sandi Akun Tidak Pernah Kedaluwarsa Diubah | Kata sandi pengguna berubah menjadi tidak pernah kedaluwarsa. |
| Kata Sandi Akun Tidak Diperlukan Diubah | Akun pengguna diubah untuk memperbolehkan masuk dengan kata sandi kosong. |
| Kartu Pintar Akun Diperlukan Diubah | Perubahan akun untuk mengharuskan pengguna masuk ke perangkat menggunakan kartu pintar. |
| Jenis Enkripsi yang Didukung Akun Diubah | Jenis enkripsi yang didukung Kerberos diubah (jenis: Des, AES 129, AES 256) |
| Pembuka kunci akun diubah | Perubahan pada pengaturan buka kunci akun |
| Nama UPN Akun Diubah | Nama prinsip pengguna diubah. |
| Keanggotaan Grup Diubah | Pengguna ditambahkan/dihapus, ke/dari grup, oleh pengguna lain atau sendiri. |
| Email Pengguna Diubah | Atribut email pengguna diubah. |
| Manajer Pengguna Diubah | Atribut manajer pengguna diubah. |
| Nomor Telepon Pengguna Diubah | Atribut nomor telepon pengguna diubah. |
| Judul Pengguna Diubah | Atribut judul pengguna diubah. |
Aktivitas pengguna yang dipantau: Operasi utama keamanan AD
| Aktivitas yang dipantau | Deskripsi |
|---|---|
| Akun Komputer Dibuat | Akun komputer telah dibuat |
| Perwakilan Keamanan Dihapus Diubah | Akun dihapus/dipulihkan (pengguna dan komputer). |
| Nama Tampilan Prinsipal Keamanan Diubah | Nama tampilan akun diubah dari X ke Y. |
| Nama Prinsipal Keamanan Diubah | Atribut nama akun diubah. |
| Jalur Utama Keamanan Diubah | Nama Khusus Akun diubah dari X ke Y. |
| Nama Sam Prinsipal Keamanan Diubah | Nama SAM berubah (SAM adalah nama masuk yang digunakan untuk mendukung klien dan server yang menjalankan versi sistem operasi yang lebih lama). |
Aktivitas pengguna yang dipantau: Operasi pengguna berbasis pengendali domain
| Aktivitas yang dipantau | Deskripsi |
|---|---|
| Replikasi Layanan Direktori | Pengguna mencoba mereplikasi layanan direktori. |
| Kueri DNS | Jenis pengguna kueri yang dilakukan terhadap pengendali domain (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| Pengambilan Kata Sandi gMSA | Kata sandi akun gMSA diambil oleh pengguna. Untuk memantau aktivitas ini, peristiwa 4662 harus dikumpulkan. Untuk informasi selengkapnya, lihat Mengonfigurasi koleksi Peristiwa Windows. |
| Kueri LDAP | Pengguna melakukan kueri LDAP. |
| Potensi gerakan lateral | Gerakan lateral diidentifikasi. |
| Eksekusi PowerShell | Pengguna mencoba menjalankan metode PowerShell dari jarak jauh. |
| Pengambilan Data Privat | Pengguna mencoba/berhasil mengkueri data privat menggunakan protokol LSARPC. |
| Pembuatan Layanan | Pengguna mencoba membuat layanan tertentu dari jarak jauh ke komputer jarak jauh. |
| Enumerasi Sesi SMB | Pengguna mencoba menghitung semua pengguna dengan sesi SMB terbuka pada pengontrol domain. |
| Salinan file SMB | File yang disalin pengguna menggunakan SMB |
| Kueri SAMR | Pengguna melakukan kueri SAMR. |
| Penjadwalan Tugas | Pengguna mencoba menjadwalkan tugas X dari jarak jauh ke komputer jarak jauh. |
| Eksekusi Wmi | Pengguna mencoba menjalankan metode WMI dari jarak jauh. |
Aktivitas pengguna yang dipantau: Operasi masuk
Untuk informasi selengkapnya, lihat Jenis masuk yang IdentityLogonEvents didukung untuk tabel.
Aktivitas mesin yang dipantau: Akun mesin
| Aktivitas yang dipantau | Deskripsi |
|---|---|
| Sistem Operasi Komputer Diubah | Ubah ke OS komputer. |
| Riwayat SID berubah | Perubahan pada riwayat SID komputer |