Dela via


Övervakade aktiviteter i Microsoft Defender för identitet

Microsoft Defender för identitet övervakar information som genereras från din organisations Active Directory, nätverksaktiviteter och händelseaktiviteter för att identifiera misstänkt aktivitet. Den övervakade aktivitetsinformationen gör det möjligt för Defender for Identity att hjälpa dig att fastställa giltigheten för varje potentiellt hot och korrekt sortera och svara.

När det gäller ett giltigt hot, eller sant positivt, gör Defender för identitet att du kan identifiera omfattningen av överträdelsen för varje incident, undersöka vilka entiteter som är inblandade och fastställa hur de ska åtgärdas.

Informationen som övervakas av Defender for Identity visas i form av aktiviteter. Defender for Identity stöder för närvarande övervakning av följande aktivitetstyper:

Kommentar

  • Den här artikeln är relevant för alla typer av Defender för identitetssensorer.
  • Aktiviteter som övervakas av Defender för identitet visas på både användar- och datorprofilsidan.
  • Övervakade aktiviteter i Defender för identitet finns också på sidan Avancerad jakt i Microsoft Defender XDR.

Övervakade användaraktiviteter: Ad-attributändringar för användarkonton

Övervakad aktivitet beskrivning
Kontobegränsat delegeringstillstånd har ändrats Kontotillståndet är nu aktiverat eller inaktiverat för delegering.
SPN:er för kontobegränsade delegering har ändrats Begränsad delegering begränsar de tjänster som den angivna servern kan agera för användarens räkning.
Kontodelegeringen har ändrats Ändringar i kontodelegeringsinställningarna
Kontot har inaktiverats har ändrats Anger om ett konto är inaktiverat eller aktiverat.
Kontot har upphört att gälla Datum då kontot upphör att gälla.
Kontots förfallotid har ändrats Ändra till det datum då kontot upphör att gälla.
Kontot har låsts har ändrats Ändringar i kontolåsinställningarna.
Kontolösenordet har ändrats Användaren har ändrat sitt lösenord.
Kontots lösenord har upphört att gälla Användarens lösenord har upphört att gälla.
Kontolösenordet upphör aldrig att gälla ändrat Användarens lösenord har ändrats så att det aldrig upphör att gälla.
Kontolösenordet krävs inte ändrat Användarkontot har ändrats för att tillåta inloggning med ett tomt lösenord.
Smartkort för konto krävs ändrat Kontoändringar som kräver att användare loggar in på en enhet med ett smartkort.
Krypteringstyper som stöds av kontot har ändrats Kerberos-krypteringstyper som stöds har ändrats (typer: Des, AES 129, AES 256)
Kontolåset har ändrats Ändringar i kontolåsningsinställningarna
Kontots UPN-namn har ändrats Användarens huvudnamn ändrades.
Gruppmedlemskap har ändrats Användaren har lagts till/tagits bort, till/från en grupp, av en annan användare eller av sig själv.
Användarens e-post har ändrats Användarens e-postattribut har ändrats.
Användarhanteraren har ändrats Användarens chefsattribut har ändrats.
Användarens Telefon nummer har ändrats Användarens telefonnummerattribut ändrades.
Användarrubriken har ändrats Användarens rubrikattribut har ändrats.

Övervakade användaraktiviteter: ÅTGÄRDER för AD-säkerhetsobjekt

Övervakad aktivitet beskrivning
Datorkonto har skapats Datorkontot skapades
Säkerhetsobjektet har tagits bort har ändrats Kontot har tagits bort/återställts (både användare och dator).
Visningsnamnet för säkerhetsobjektet har ändrats Kontovisningsnamnet ändrades från X till Y.
Säkerhetsobjektets namn har ändrats Kontonamnsattributet har ändrats.
Säkerhetsobjektets sökväg har ändrats Kontots unika namn ändrades från X till Y.
Sam-namnet för säkerhetsobjektet har ändrats SAM-namnet har ändrats (SAM är inloggningsnamnet som används för klienter och servrar som kör tidigare versioner av operativsystemet).

Övervakade användaraktiviteter: Domänkontrollantbaserade användaråtgärder

Övervakad aktivitet beskrivning
Replikering av katalogtjänst Användaren försökte replikera katalogtjänsten.
DNS-fråga Typ av frågeanvändare som utförts mot domänkontrollanten (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY).
gMSA-lösenordshämtning gMSA-kontolösenordet hämtades av en användare.
För att övervaka den här aktiviteten måste händelse 4662 samlas in. Mer information finns i Konfigurera Windows-händelsesamling.
LDAP-fråga Användaren utförde en LDAP-fråga.
Potentiell lateral förflyttning En lateral rörelse identifierades.
PowerShell-körning Användaren försökte fjärrhantera en PowerShell-metod.
Hämtning av privata data Användaren försökte/lyckades köra frågor mot privata data med hjälp av LSARPC-protokollet.
Skapa en tjänst Användaren försökte fjärrskapa en specifik tjänst till en fjärrdator.
Uppräkning av SMB-session Användaren försökte räkna upp alla användare med öppna SMB-sessioner på domänkontrollanterna.
SMB-filkopiering Användare kopierade filer med SMB
SAMR-fråga Användaren utförde en SAMR-fråga.
Schemaläggning av aktiviteter Användaren försökte fjärransluta X-aktiviteten till en fjärrdator.
Wmi-körning Användaren försökte fjärrensa en WMI-metod.

Övervakade användaraktiviteter: Inloggningsåtgärder

Mer information finns i Inloggningstyper som stöds för IdentityLogonEvents tabellen.

Övervakade datoraktiviteter: Datorkonto

Övervakad aktivitet beskrivning
Datorns operativsystem har ändrats Ändra till datorns operativsystem.
SID-historiken har ändrats Ändringar i datorns SID-historik

Se även