受監視的活動適用於身分識別的 Microsoft Defender

適用於身分識別的 Microsoft Defender 監視組織 Active Directory、網路活動和事件活動所產生的資訊，以偵測可疑活動。受監視的活動資訊可讓適用於身分識別的 Defender 協助您判斷每個潛在威脅的有效性，並正確分級和回應。

在有效威脅或 真實正面的情況下，適用於身分識別的 Defender 可讓您探索每個事件的缺口範圍、調查涉及哪些實體，以及判斷如何補救它們。

適用於身分識別的Defender所監視的資訊會以活動形式呈現。適用於身分識別的 Defender 目前支援監視下列活動類型：

注意

受監視的用戶活動：用戶帳戶 AD 屬性變更

受監視的活動	描述
帳戶限制委派狀態已變更	帳戶狀態現在已啟用或停用委派。
帳戶限制委派 SPN 已變更	限制委派會限制指定伺服器代表用戶採取行動的服務。
帳戶委派已變更	帳戶委派設定的變更
帳戶已停用已變更	指出帳戶已停用或啟用。
帳戶已過期	帳戶到期的日期。
帳戶到期時間已變更	變更為帳戶到期的日期。
帳戶鎖定已變更	帳戶鎖定設定的變更。
帳戶密碼已變更	用戶已變更其密碼。
帳戶密碼已過期	用戶的密碼已過期。
帳戶密碼永不過期變更	用戶的密碼已變更為永不過期。
帳戶密碼不需要變更	用戶帳戶已變更為允許使用空白密碼登入。
需要變更帳戶智慧卡	帳戶變更，要求使用者使用智慧卡登入裝置。
帳戶支援的加密類型已變更	Kerberos 支援的加密類型已變更（類型：Des、AES 129、AES 256）
帳戶解除鎖定已變更	帳戶解除鎖定設定的變更
帳戶 UPN 名稱已變更	用戶的原則名稱已變更。
群組成員資格已變更	使用者已由其他使用者或本身新增/移除群組或從群組中新增/移除。
使用者郵件已變更	用戶電子郵件屬性已變更。
使用者管理員已變更	使用者的管理員屬性已變更。
用戶電話號碼已變更	用戶的電話號碼屬性已變更。
用戶標題已變更	用戶的標題屬性已變更。

受監視的活動	描述
已建立用戶帳戶	用戶帳戶已建立
建立的電腦帳戶	計算機帳戶已建立
安全性主體已刪除已變更	帳戶已刪除/還原（用戶和計算機）。
安全性主體顯示名稱已變更	帳戶顯示名稱已從 X 變更為 Y。
安全性主體名稱已變更	帳戶名稱屬性已變更。
安全性主體路徑已變更	帳戶辨別名稱已從 X 變更為 Y。
安全性主體 Sam 名稱已變更	SAM 名稱已變更（SAM 是用來支援執行舊版作業系統之用戶端和伺服器的登入名稱）。

受監視的活動	描述
目錄服務複寫	用戶嘗試複寫目錄服務。
DNS 查詢	針對域控制器執行的查詢用戶類型（AXFR、TXT、 MX、 NS、 SRV、 ANY、 DNSKEY）。
gMSA 密碼擷取	gMSA 帳戶密碼是由使用者所擷取。若要監視此活動，必須收集事件 4662。如需詳細資訊，請參閱設定 Windows 事件集合。
LDAP 查詢	用戶已執行LDAP查詢。
潛在的橫向移動	已識別橫向移動。
PowerShell 執行	用戶嘗試從遠端執行 PowerShell 方法。
私人數據擷取	用戶嘗試/成功使用 LSARPC 通訊協定查詢私人數據。
服務建立	用戶嘗試從遠端建立遠端電腦的特定服務。
SMB 會話列舉	用戶嘗試列舉域控制器上開啟SMB工作階段的所有使用者。
SMB 檔案複製	使用SMB的用戶複製檔案
SAMR 查詢	用戶已執行 SAMR 查詢。
工作排程	用戶嘗試從遠端排程 X 工作到遠端電腦。
Wmi 執行	用戶嘗試從遠端執行 WMI 方法。

如需詳細資訊，請參閱數據表支援的登入類型IdentityLogonEvents。

受監視的活動	描述
計算機作業系統已變更	變更為計算機OS。
SID-History 已變更	計算機 SID 歷程記錄的變更