Bewaakte activiteiten van Microsoft Defender for Identity
Microsoft Defender for Identity bewaakt gegevens die zijn gegenereerd op basis van Active Directory, netwerkactiviteiten en gebeurtenisactiviteiten van uw organisatie om verdachte activiteiten te detecteren. Met de bewaakte activiteitsgegevens kan Defender for Identity u helpen bij het bepalen van de geldigheid van elke mogelijke bedreiging en het correct classificeren en reageren.
In het geval van een geldige bedreiging, of terecht positief, kunt u met Defender for Identity het bereik van de inbreuk voor elk incident detecteren, onderzoeken welke entiteiten betrokken zijn en bepalen hoe u deze herstelt.
De informatie die wordt bewaakt door Defender for Identity, wordt weergegeven in de vorm van activiteiten. Defender for Identity ondersteunt momenteel bewaking van de volgende activiteitstypen:
Notitie
- Dit artikel is relevant voor alle Defender for Identity-sensortypen.
- Bewaakte activiteiten van Defender for Identity worden weergegeven op zowel de gebruikers- als computerprofielpagina.
- Bewaakte activiteiten van Defender for Identity zijn ook beschikbaar op de pagina Geavanceerde opsporing van Microsoft Defender XDR.
Bewaakte gebruikersactiviteiten: wijzigingen in AD-kenmerk van gebruikersaccount
| Bewaakte activiteit | Beschrijving |
|---|---|
| Status van beperkte accountdelegering gewijzigd | De accountstatus is nu ingeschakeld of uitgeschakeld voor delegering. |
| SPN's voor beperkte accountdelegering gewijzigd | Beperkte delegering beperkt de services waartoe de opgegeven server namens de gebruiker kan handelen. |
| Accountdelegering gewijzigd | Wijzigingen in de instellingen voor accountdelegering |
| Account uitgeschakeld gewijzigd | Geeft aan of een account is uitgeschakeld of ingeschakeld. |
| Account verlopen | Datum waarop het account verloopt. |
| Verlooptijd van account gewijzigd | Ga naar de datum waarop het account verloopt. |
| Account vergrendeld gewijzigd | Wijzigingen in de instellingen voor accountvergrendeling. |
| Accountwachtwoord gewijzigd | De gebruiker heeft zijn wachtwoord gewijzigd. |
| Wachtwoord van account verlopen | Het wachtwoord van de gebruiker is verlopen. |
| Accountwachtwoord verloopt nooit gewijzigd | Het wachtwoord van de gebruiker is gewijzigd om nooit te verlopen. |
| Accountwachtwoord niet vereist gewijzigd | Gebruikersaccount is gewijzigd om aanmelden met een leeg wachtwoord toe te staan. |
| Smartcard account vereist gewijzigd | Accountwijzigingen zodat gebruikers zich met een smartcard moeten aanmelden bij een apparaat. |
| Door account ondersteunde versleutelingstypen zijn gewijzigd | Ondersteunde Kerberos-versleutelingstypen zijn gewijzigd (typen: Des, AES 129, AES 256) |
| Account ontgrendelen gewijzigd | Wijzigingen in de instellingen voor het ontgrendelen van het account |
| Upn-naam van account gewijzigd | De principenaam van de gebruiker is gewijzigd. |
| Groepslidmaatschap gewijzigd | De gebruiker is door een andere gebruiker of door zichzelf toegevoegd/verwijderd uit een groep. |
| Gebruikersmail gewijzigd | Het e-mailkenmerk van gebruikers is gewijzigd. |
| Gebruikersbeheer gewijzigd | Het managerkenmerk van de gebruiker is gewijzigd. |
| Gebruikersnummer Telefoon gewijzigd | Het kenmerk telefoonnummer van de gebruiker is gewijzigd. |
| Gebruikerstitel gewijzigd | Het titelkenmerk van de gebruiker is gewijzigd. |
Bewaakte gebruikersactiviteiten: AD-beveiligingsprincipaalbewerkingen
| Bewaakte activiteit | Beschrijving |
|---|---|
| Computeraccount gemaakt | Computeraccount is gemaakt |
| Beveiligingsprincipaal is gewijzigd | Account is verwijderd/hersteld (zowel gebruiker als computer). |
| Weergavenaam van beveiligingsprincipaal gewijzigd | De weergavenaam van het account is gewijzigd van X in Y. |
| Naam van beveiligingsprincipaal gewijzigd | Het kenmerk Accountnaam is gewijzigd. |
| Pad naar beveiligingsprincipaal gewijzigd | Account Distinguished name is gewijzigd van X in Y. |
| Sam-naam van beveiligingsprincipal gewijzigd | Sam-naam gewijzigd (SAM is de aanmeldingsnaam die wordt gebruikt ter ondersteuning van clients en servers met eerdere versies van het besturingssysteem). |
Bewaakte gebruikersactiviteiten: gebruikersbewerkingen op basis van domeincontrollers
| Bewaakte activiteit | Beschrijving |
|---|---|
| Replicatie van adreslijstservice | De gebruiker heeft geprobeerd de adreslijstservice te repliceren. |
| DNS-query | Type querygebruiker uitgevoerd op de domeincontroller (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| gMSA-wachtwoord ophalen | het wachtwoord van het gMSA-account is opgehaald door een gebruiker. Als u deze activiteit wilt bewaken, moet gebeurtenis 4662 worden verzameld. Zie Windows-gebeurtenisverzameling configureren voor meer informatie. |
| LDAP-query | Gebruiker heeft een LDAP-query uitgevoerd. |
| Mogelijke zijwaartse verplaatsing | Er is een zijwaartse beweging geïdentificeerd. |
| PowerShell-uitvoering | De gebruiker heeft geprobeerd een PowerShell-methode op afstand uit te voeren. |
| Ophalen van persoonlijke gegevens | De gebruiker heeft geprobeerd om een query uit te voeren op persoonlijke gegevens met behulp van het LSARPC-protocol. |
| Service maken | De gebruiker heeft geprobeerd een specifieke service op afstand te maken op een externe computer. |
| Opsomming van SMB-sessies | De gebruiker heeft geprobeerd alle gebruikers op te sommen met open SMB-sessies op de domeincontrollers. |
| SMB-bestand kopiëren | Door de gebruiker gekopieerde bestanden met behulp van SMB |
| SAMR-query | Gebruiker heeft een SAMR-query uitgevoerd. |
| Taakplanning | De gebruiker heeft geprobeerd X-taak op afstand te plannen op een externe computer. |
| Wmi-uitvoering | De gebruiker heeft geprobeerd een WMI-methode op afstand uit te voeren. |
Bewaakte gebruikersactiviteiten: aanmeldingsbewerkingen
Zie Ondersteunde aanmeldingstypen voor de IdentityLogonEvents tabel voor meer informatie.
Bewaakte machineactiviteiten: Machineaccount
| Bewaakte activiteit | Beschrijving |
|---|---|
| Computerbesturingssysteem gewijzigd | Ga naar het besturingssysteem van de computer. |
| SID-Geschiedenis gewijzigd | Wijzigingen in de SID-geschiedenis van de computer |