Atividades monitoradas do Microsoft Defender for Identity
O Microsoft Defender for Identity monitoriza as informações geradas a partir do Ative Directory da sua organização, atividades de rede e atividades de eventos para detetar atividades suspeitas. As informações de atividade monitoradas permitem que o Defender for Identity o ajude a determinar a validade de cada ameaça potencial e a triar e responder corretamente.
No caso de uma ameaça válida ou positiva verdadeira, o Defender for Identity permite que você descubra o escopo da violação para cada incidente, investigue quais entidades estão envolvidas e determine como remediá-las.
As informações monitoradas pelo Defensor de Identidade são apresentadas na forma de atividades. Atualmente, o Defender for Identity oferece suporte ao monitoramento dos seguintes tipos de atividade:
Nota
- Este artigo é relevante para todos os tipos de sensores do Defender for Identity.
- As atividades monitoradas do Defender for Identity aparecem na página de perfil do usuário e da máquina.
- As atividades monitoradas do Defender for Identity também estão disponíveis na página Advanced Hunting do Microsoft Defender XDR.
Atividades de usuário monitoradas: alterações de atributo do AD da conta de usuário
| Atividade monitorizada | Description |
|---|---|
| Estado de delegação restrita de conta alterado | O estado da conta agora está habilitado ou desabilitado para delegação. |
| SPNs de delegação restrita de conta alterados | A delegação restrita restringe os serviços aos quais o servidor especificado pode agir em nome do usuário. |
| Delegação de conta alterada | Alterações nas configurações de delegação de conta |
| Conta desativada alterada | Indica se uma conta está desativada ou habilitada. |
| Conta expirada | Data em que a conta expira. |
| Tempo de expiração da conta alterado | Altere para a data em que a conta expira. |
| Conta bloqueada alterada | Alterações nas configurações de bloqueio de conta. |
| Senha da conta alterada | O usuário alterou sua senha. |
| Senha da conta expirada | A senha do usuário expirou. |
| A palavra-passe da conta nunca expira alterada | A senha do usuário foi alterada para nunca expirar. |
| Senha da conta não necessária alterada | A conta de utilizador foi alterada para permitir o início de sessão com uma palavra-passe em branco. |
| Conta Smartcard necessária alterada | A conta é alterada para exigir que os usuários façam logon em um dispositivo usando um cartão inteligente. |
| Tipos de criptografia suportados pela conta alterados | Os tipos de criptografia suportados pelo Kerberos foram alterados (tipos: Des, AES 129, AES 256) |
| Desbloqueio de conta alterado | Alterações nas configurações de desbloqueio de conta |
| Nome UPN da conta alterado | O nome principal do usuário foi alterado. |
| Associação ao Grupo Alterada | O usuário foi adicionado/removido, de/para um grupo, por outro usuário ou por eles mesmos. |
| Email do usuário alterado | O atributo de e-mail dos usuários foi alterado. |
| Gestor de Utilizadores Alterado | O atributo do gerenciador do usuário foi alterado. |
| Número de telefone do usuário alterado | O atributo de número de telefone do usuário foi alterado. |
| Título de usuário alterado | O atributo title do usuário foi alterado. |
Atividades do usuário monitoradas: operações principais de segurança do AD
| Atividade monitorizada | Description |
|---|---|
| Conta de computador criada | A conta de computador foi criada |
| Entidade de segurança excluída alterada | A conta foi excluída/restaurada (usuário e computador). |
| Nome de exibição da entidade de segurança alterado | O nome de exibição da conta foi alterado de X para Y. |
| Nome da entidade de segurança alterado | O atributo de nome da conta foi alterado. |
| Caminho da entidade de segurança alterado | O nome distinto da conta foi alterado de X para Y. |
| Nome Sam da entidade de segurança alterado | Nome do SAM alterado (SAM é o nome de logon usado para oferecer suporte a clientes e servidores que executam versões anteriores do sistema operacional). |
Atividades de usuário monitoradas: operações de usuário baseadas em controlador de domínio
| Atividade monitorizada | Description |
|---|---|
| Replicação do serviço de diretório | O usuário tentou replicar o serviço de diretório. |
| Consulta de DNS | Tipo de usuário de consulta realizada em relação ao controlador de domínio (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| Recuperação de senha gMSA | A senha da conta gMSA foi recuperada por um usuário. Para monitorar essa atividade, o evento 4662 deve ser coletado. Para obter mais informações, consulte Configurar a coleta de eventos do Windows. |
| Consulta LDAP | O usuário executou uma consulta LDAP. |
| Potencial movimento lateral | Foi identificado um movimento lateral. |
| Execução do PowerShell | O usuário tentou executar remotamente um método do PowerShell. |
| Recuperação de dados privados | O usuário tentou/conseguiu consultar dados privados usando o protocolo LSARPC. |
| Criação de Serviços | O usuário tentou criar remotamente um serviço específico para uma máquina remota. |
| Enumeração de sessão SMB | O usuário tentou enumerar todos os usuários com sessões SMB abertas nos controladores de domínio. |
| Cópia do arquivo SMB | Arquivos copiados pelo usuário usando SMB |
| Consulta SAMR | O usuário executou uma consulta SAMR. |
| Agendamento de tarefas | O usuário tentou agendar remotamente a tarefa X para uma máquina remota. |
| Execução Wmi | O usuário tentou executar remotamente um método WMI. |
Atividades monitoradas do usuário: operações de login
Para obter mais informações, consulte Tipos de logon suportados para a IdentityLogonEvents tabela.
Atividades monitoradas da máquina: Conta da máquina
| Atividade monitorizada | Description |
|---|---|
| Sistema operacional do computador alterado | Mude para o SO do computador. |
| SID-História alterada | Alterações no histórico do SID do computador |