受監視的活動 適用於身分識別的 Microsoft Defender
適用於身分識別的 Microsoft Defender 監視組織 Active Directory、網路活動和事件活動所產生的資訊,以偵測可疑活動。 受監視的活動資訊可讓適用於身分識別的 Defender 協助您判斷每個潛在威脅的有效性,並正確分級和回應。
在有效威脅或 真實正面的情況下,適用於身分識別的 Defender 可讓您探索每個事件的缺口範圍、調查涉及哪些實體,以及判斷如何補救它們。
適用於身分識別的Defender所監視的資訊會以活動形式呈現。 適用於身分識別的 Defender 目前支援監視下列活動類型:
注意
- 本文與所有適用於身分識別的Defender感測器類型有關。
- 適用於身分識別的Defender監視活動會出現在使用者和電腦配置檔頁面上。
- 適用於身分識別的Defender監視活動也可以在Microsoft Defender 全面偵測回應的進階搜捕頁面中取得。
受監視的用戶活動:用戶帳戶 AD 屬性變更
受監視的活動 | 描述 |
---|---|
帳戶限制委派狀態已變更 | 帳戶狀態現在已啟用或停用委派。 |
帳戶限制委派 SPN 已變更 | 限制委派會限制指定伺服器代表用戶採取行動的服務。 |
帳戶委派已變更 | 帳戶委派設定的變更 |
帳戶已停用已變更 | 指出帳戶已停用或啟用。 |
帳戶已過期 | 帳戶到期的日期。 |
帳戶到期時間已變更 | 變更為帳戶到期的日期。 |
帳戶鎖定已變更 | 帳戶鎖定設定的變更。 |
帳戶密碼已變更 | 用戶已變更其密碼。 |
帳戶密碼已過期 | 用戶的密碼已過期。 |
帳戶密碼永不過期變更 | 用戶的密碼已變更為永不過期。 |
帳戶密碼不需要變更 | 用戶帳戶已變更為允許使用空白密碼登入。 |
需要變更帳戶智慧卡 | 帳戶變更,要求使用者使用智慧卡登入裝置。 |
帳戶支援的加密類型已變更 | Kerberos 支援的加密類型已變更(類型:Des、AES 129、AES 256) |
帳戶解除鎖定已變更 | 帳戶解除鎖定設定的變更 |
帳戶 UPN 名稱已變更 | 用戶的原則名稱已變更。 |
群組成員資格已變更 | 使用者已由其他使用者或本身新增/移除群組或從群組中新增/移除。 |
使用者郵件已變更 | 用戶電子郵件屬性已變更。 |
使用者管理員已變更 | 使用者的管理員屬性已變更。 |
用戶電話號碼已變更 | 用戶的電話號碼屬性已變更。 |
用戶標題已變更 | 用戶的標題屬性已變更。 |
受監視的用戶活動:AD 安全性主體作業
受監視的活動 | 描述 |
---|---|
已建立用戶帳戶 | 用戶帳戶已建立 |
建立的電腦帳戶 | 計算機帳戶已建立 |
安全性主體已刪除已變更 | 帳戶已刪除/還原(用戶和計算機)。 |
安全性主體顯示名稱已變更 | 帳戶顯示名稱已從 X 變更為 Y。 |
安全性主體名稱已變更 | 帳戶名稱屬性已變更。 |
安全性主體路徑已變更 | 帳戶辨別名稱已從 X 變更為 Y。 |
安全性主體 Sam 名稱已變更 | SAM 名稱已變更(SAM 是用來支援執行舊版作業系統之用戶端和伺服器的登入名稱)。 |
受監視的用戶活動:域控制器型用戶作業
受監視的活動 | 描述 |
---|---|
目錄服務複寫 | 用戶嘗試複寫目錄服務。 |
DNS 查詢 | 針對域控制器執行的查詢用戶類型(AXFR、TXT、 MX、 NS、 SRV、 ANY、 DNSKEY)。 |
gMSA 密碼擷取 | gMSA 帳戶密碼是由使用者所擷取。 若要監視此活動,必須收集事件 4662。 如需詳細資訊,請參閱 設定 Windows 事件集合。 |
LDAP 查詢 | 用戶已執行LDAP查詢。 |
潛在的橫向移動 | 已識別橫向移動。 |
PowerShell 執行 | 用戶嘗試從遠端執行 PowerShell 方法。 |
私人數據擷取 | 用戶嘗試/成功使用 LSARPC 通訊協定查詢私人數據。 |
服務建立 | 用戶嘗試從遠端建立遠端電腦的特定服務。 |
SMB 會話列舉 | 用戶嘗試列舉域控制器上開啟SMB工作階段的所有使用者。 |
SMB 檔案複製 | 使用SMB的用戶複製檔案 |
SAMR 查詢 | 用戶已執行 SAMR 查詢。 |
工作排程 | 用戶嘗試從遠端排程 X 工作到遠端電腦。 |
Wmi 執行 | 用戶嘗試從遠端執行 WMI 方法。 |
受監視的用戶活動:登入作業
如需詳細資訊,請參閱數據表支援的登入類型IdentityLogonEvents
。
受監視的電腦活動:計算機帳戶
受監視的活動 | 描述 |
---|---|
計算機作業系統已變更 | 變更為計算機OS。 |
SID-History 已變更 | 計算機 SID 歷程記錄的變更 |