Övervakade aktiviteter i Microsoft Defender för identitet
Microsoft Defender för identitet övervakar information som genereras från din organisations Active Directory, nätverksaktiviteter och händelseaktiviteter för att identifiera misstänkt aktivitet. Den övervakade aktivitetsinformationen gör det möjligt för Defender for Identity att hjälpa dig att fastställa giltigheten för varje potentiellt hot och korrekt sortera och svara.
När det gäller ett giltigt hot, eller sant positivt, gör Defender för identitet att du kan identifiera omfattningen av överträdelsen för varje incident, undersöka vilka entiteter som är inblandade och fastställa hur de ska åtgärdas.
Informationen som övervakas av Defender for Identity visas i form av aktiviteter. Defender for Identity stöder för närvarande övervakning av följande aktivitetstyper:
Kommentar
- Den här artikeln är relevant för alla typer av Defender för identitetssensorer.
- Aktiviteter som övervakas av Defender för identitet visas på både användar- och datorprofilsidan.
- Övervakade aktiviteter i Defender för identitet finns också på sidan Avancerad jakt i Microsoft Defender XDR.
Övervakade användaraktiviteter: Ad-attributändringar för användarkonton
| Övervakad aktivitet | beskrivning |
|---|---|
| Kontobegränsat delegeringstillstånd har ändrats | Kontotillståndet är nu aktiverat eller inaktiverat för delegering. |
| SPN:er för kontobegränsade delegering har ändrats | Begränsad delegering begränsar de tjänster som den angivna servern kan agera för användarens räkning. |
| Kontodelegeringen har ändrats | Ändringar i kontodelegeringsinställningarna |
| Kontot har inaktiverats har ändrats | Anger om ett konto är inaktiverat eller aktiverat. |
| Kontot har upphört att gälla | Datum då kontot upphör att gälla. |
| Kontots förfallotid har ändrats | Ändra till det datum då kontot upphör att gälla. |
| Kontot har låsts har ändrats | Ändringar i kontolåsinställningarna. |
| Kontolösenordet har ändrats | Användaren har ändrat sitt lösenord. |
| Kontots lösenord har upphört att gälla | Användarens lösenord har upphört att gälla. |
| Kontolösenordet upphör aldrig att gälla ändrat | Användarens lösenord har ändrats så att det aldrig upphör att gälla. |
| Kontolösenordet krävs inte ändrat | Användarkontot har ändrats för att tillåta inloggning med ett tomt lösenord. |
| Smartkort för konto krävs ändrat | Kontoändringar som kräver att användare loggar in på en enhet med ett smartkort. |
| Krypteringstyper som stöds av kontot har ändrats | Kerberos-krypteringstyper som stöds har ändrats (typer: Des, AES 129, AES 256) |
| Kontolåset har ändrats | Ändringar i kontolåsningsinställningarna |
| Kontots UPN-namn har ändrats | Användarens huvudnamn ändrades. |
| Gruppmedlemskap har ändrats | Användaren har lagts till/tagits bort, till/från en grupp, av en annan användare eller av sig själv. |
| Användarens e-post har ändrats | Användarens e-postattribut har ändrats. |
| Användarhanteraren har ändrats | Användarens chefsattribut har ändrats. |
| Användarens Telefon nummer har ändrats | Användarens telefonnummerattribut ändrades. |
| Användarrubriken har ändrats | Användarens rubrikattribut har ändrats. |
Övervakade användaraktiviteter: ÅTGÄRDER för AD-säkerhetsobjekt
| Övervakad aktivitet | beskrivning |
|---|---|
| Datorkonto har skapats | Datorkontot skapades |
| Säkerhetsobjektet har tagits bort har ändrats | Kontot har tagits bort/återställts (både användare och dator). |
| Visningsnamnet för säkerhetsobjektet har ändrats | Kontovisningsnamnet ändrades från X till Y. |
| Säkerhetsobjektets namn har ändrats | Kontonamnsattributet har ändrats. |
| Säkerhetsobjektets sökväg har ändrats | Kontots unika namn ändrades från X till Y. |
| Sam-namnet för säkerhetsobjektet har ändrats | SAM-namnet har ändrats (SAM är inloggningsnamnet som används för klienter och servrar som kör tidigare versioner av operativsystemet). |
Övervakade användaraktiviteter: Domänkontrollantbaserade användaråtgärder
| Övervakad aktivitet | beskrivning |
|---|---|
| Replikering av katalogtjänst | Användaren försökte replikera katalogtjänsten. |
| DNS-fråga | Typ av frågeanvändare som utförts mot domänkontrollanten (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| gMSA-lösenordshämtning | gMSA-kontolösenordet hämtades av en användare. För att övervaka den här aktiviteten måste händelse 4662 samlas in. Mer information finns i Konfigurera Windows-händelsesamling. |
| LDAP-fråga | Användaren utförde en LDAP-fråga. |
| Potentiell lateral förflyttning | En lateral rörelse identifierades. |
| PowerShell-körning | Användaren försökte fjärrhantera en PowerShell-metod. |
| Hämtning av privata data | Användaren försökte/lyckades köra frågor mot privata data med hjälp av LSARPC-protokollet. |
| Skapa en tjänst | Användaren försökte fjärrskapa en specifik tjänst till en fjärrdator. |
| Uppräkning av SMB-session | Användaren försökte räkna upp alla användare med öppna SMB-sessioner på domänkontrollanterna. |
| SMB-filkopiering | Användare kopierade filer med SMB |
| SAMR-fråga | Användaren utförde en SAMR-fråga. |
| Schemaläggning av aktiviteter | Användaren försökte fjärransluta X-aktiviteten till en fjärrdator. |
| Wmi-körning | Användaren försökte fjärrensa en WMI-metod. |
Övervakade användaraktiviteter: Inloggningsåtgärder
Mer information finns i Inloggningstyper som stöds för IdentityLogonEvents tabellen.
Övervakade datoraktiviteter: Datorkonto
| Övervakad aktivitet | beskrivning |
|---|---|
| Datorns operativsystem har ändrats | Ändra till datorns operativsystem. |
| SID-historiken har ändrats | Ändringar i datorns SID-historik |