Atividades monitoradas pelo Microsoft Defender para Identidade
O Microsoft Defender para Identidade monitora as informações geradas no Active Directory, nas atividades de rede e nas atividades de eventos da sua organização para detectar atividades suspeitas. As informações de atividades monitoradas permitem que o Defender para Identidade ajude você a determinar a validade de cada ameaça em potencial e a separar e responder corretamente.
No caso de uma ameaça válida, ou verdadeira positiva, o Defender para Identidade permite que você descubra o escopo da violação para cada incidente, investigue quais entidades estão envolvidas e determine como corrigi-las.
As informações monitoradas pelo Defender para Identidade são apresentadas em forma de atividades. Atualmente, o Defender para Identidade oferece suporte ao monitoramento dos seguintes tipos de atividade:
Observação
- Este artigo é relevante para todos os tipos de sensor do Defender para Identidade.
- As atividades monitoradas pelo Defender para Identidade aparecem na página de perfil do usuário e do computador.
- As atividades monitoradas pelo Defender para Identidade também estão disponíveis na página Busca avançada de ameaças do Microsoft Defender XDR.
Atividades de usuário monitoradas: alterações de atributo do AD da conta de usuário
| Atividade monitorada | Descrição |
|---|---|
| Estado de delegação restrita de conta alterado | O estado da conta agora está habilitado ou desabilitado para delegação. |
| SPNs de delegação restrita de conta alterados | A delegação restrita restringe os serviços nos quais um determinado servidor pode agir em nome de um usuário. |
| Delegação de conta alterada | Alterações nas configurações de delegação da conta. |
| Conta desativada alterada | Indica se uma conta está desabilitada ou habilitada. |
| Conta expirada | Data em que a conta expira. |
| Tempo de expiração da conta alterado | Altere para a data em que a conta expira. |
| Conta bloqueada alterada | Alterações nas configurações de bloqueio da conta. |
| Senha da conta alterada | O usuário alterou a senha. |
| Senha da conta expirada | A senha do usuário expirou. |
| Senha da conta nunca expira alterada | A senha do usuário foi alterada para nunca expirar. |
| Senha da conta não obrigatória alterada | A conta de usuário foi alterada para permitir o logon com uma senha em branco. |
| Cartão inteligente da conta obrigatório alterado | A conta é alterada para exigir que os usuários façam logon em um dispositivo usando um cartão inteligente. |
| Tipos de criptografia compatíveis na conta alterados | Os tipos de criptografia compatíveis com o Kerberos foram alterados (tipos: Des, AES 129, AES 256) |
| Desbloqueio da conta alterado | Alterações nas configurações de desbloqueio da conta |
| Nome UPN da conta alterado | O nome principal do usuário foi alterado. |
| Associação de grupo alterada | Um usuário foi adicionado/removido para/de um grupo por outro usuário ou por ele mesmo. |
| Email do usuário alterado | O atributo de email do usuários foi alterado. |
| Gerenciador de usuários alterado | O atributo de gerenciador do usuário foi alterado. |
| Número de telefone do usuário alterado | O atributo de número de telefone do usuário foi alterado. |
| Título do usuário alterado | O atributo de título do usuário foi alterado. |
Atividades de usuário monitoradas: operações de entidade de segurança do AD
| Atividade monitorada | Descrição |
|---|---|
| Conta de usuário criada | Uma conta de usuário foi criada |
| Conta de computador criada | A conta de computador foi criada. |
| Entidade de segurança excluída alterada | A conta foi excluída/restaurada (usuário e computador). |
| Nome de exibição da entidade de segurança alterado | O nome de exibição da conta foi alterado de X para Y. |
| Nome da entidade de segurança alterado | O atributo de nome da conta foi alterado. |
| Caminho da entidade de segurança alterado | O nome diferenciado da conta foi alterado de X para Y. |
| Nome da entidade de segurança Sam alterado | Nome SAM alterado (SAM é o nome de logon usado para dar suporte a clientes e servidores que executam versões mais antigas de um sistema operacional). |
Atividades de usuário monitoradas: operações de usuário baseadas em controlador de domínio
| Atividade monitorada | Descrição |
|---|---|
| Replicação do Serviço de Diretório | O usuário tentou replicar o serviço de diretório. |
| Consulta DNS | Tipo de consulta do usuário executada no controlador de domínio (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| Recuperação de senha gMSA | A senha da conta gMSA foi recuperada por um usuário. Para monitorar essa atividade, o evento 4662 deve ser coletado. Para obter mais informações, confira Configurar a coleta de eventos do Windows. |
| Consulta LDAP | O usuário executou uma consulta LDAP. |
| Movimentação lateral em potencial | Uma movimentação lateral foi identificada. |
| Execução do PowerShell | O usuário tentou executar remotamente um método do PowerShell. |
| Recuperação de dados privados | O usuário tentou/conseguiu consultar dados privados usando o protocolo LSARPC. |
| Criação de serviço | O usuário tentou criar remotamente um serviço específico para um computador remoto. |
| Enumeração de sessão de SMB | O usuário tentou enumerar todos os usuários com sessões SMB abertas nos controladores de domínio. |
| Cópia de arquivo SMB | O usuário copiou arquivos usando SMB. |
| Consulta SAMR | O usuário executou uma consulta SAMR. |
| Agendamento de tarefas | O usuário tentou agendar remotamente a tarefa X para um computador remoto. |
| Execução Wmi | O usuário tentou executar remotamente um método WMI. |
Atividades de usuário monitoradas: operações de logon
Para obter mais informações, consulte Tipos de logon com suporte para a IdentityLogonEvents tabela.
Atividades de computador monitoradas: conta de computador
| Atividade monitorada | Descrição |
|---|---|
| Sistema operacional do computador alterado | Alteração no SO do computador. |
| Histórico SID alterado | Alterações no histórico de SID do computador. |