Microsoft Defender for Identity الأنشطة المراقبة
تراقب Microsoft Defender for Identity المعلومات التي تم إنشاؤها من Active Directory الخاص بمؤسستك وأنشطة الشبكة وأنشطة الأحداث للكشف عن النشاط المشبوه. تمكن معلومات النشاط المراقبة Defender for Identity من مساعدتك في تحديد صلاحية كل تهديد محتمل والفرز والاستجابة بشكل صحيح.
في حالة وجود تهديد صالح، أو إيجابي حقيقي، يمكنك Defender for Identity من اكتشاف نطاق الخرق لكل حادث، والتحقيق في الكيانات المعنية، وتحديد كيفية معالجتها.
يتم تقديم المعلومات التي يراقبها Defender for Identity في شكل أنشطة. يدعم Defender for Identity حاليا مراقبة أنواع الأنشطة التالية:
ملاحظة
- هذه المقالة ذات صلة بجميع أنواع أدوات استشعار Defender for Identity.
- تظهر أنشطة Defender for Identity المراقبة على كل من صفحة ملف تعريف المستخدم والجهاز.
- تتوفر أيضا أنشطة Defender for Identity المراقبة في صفحة التتبع المتقدم Microsoft Defender XDR.
تلميح
للحصول على معلومات مفصلة حول جميع أنواع الأحداث المدعومة (ActionTypeالقيم) في الجداول ذات الصلة بهوية التتبع المتقدمة، استخدم مرجع المخطط المضمن المتوفر في Microsoft Defender XDR.
أنشطة المستخدم المراقبة: تغييرات سمة حساب المستخدم AD
| النشاط المراقب | الوصف |
|---|---|
| تم تغيير حالة التفويض المقيد للحساب | تم الآن تمكين حالة الحساب أو تعطيلها للتفويض. |
| تم تغيير SPNs التفويض المقيد للحساب | يقيد التفويض المقيد الخدمات التي يمكن للخادم المحدد التصرف نيابة عن المستخدم. |
| تم تغيير تفويض الحساب | تغييرات على إعدادات تفويض الحساب. |
| تم تغيير الحساب المعطلة | يشير إلى ما إذا كان الحساب معطلا أو ممكنا. |
| انتهت صلاحية الحساب | تاريخ انتهاء صلاحية الحساب. |
| تم تغيير وقت انتهاء صلاحية الحساب | قم بالتغيير إلى التاريخ الذي تنتهي فيه صلاحية الحساب. |
| تم تغيير الحساب المؤمن | تغييرات على إعدادات تأمين الحساب. |
| تم تغيير كلمة مرور الحساب | غير المستخدم كلمة المرور الخاصة به. |
| انتهت صلاحية كلمة مرور الحساب | انتهت صلاحية كلمة مرور المستخدم. |
| لم يتم تغيير كلمة مرور الحساب أبدا | تم تغيير كلمة مرور المستخدم حتى لا تنتهي صلاحيتها أبدا. |
| كلمة مرور الحساب غير مطلوبة تم تغييرها | تم تغيير حساب المستخدم للسماح بتسجيل الدخول باستخدام كلمة مرور فارغة. |
| تم تغيير البطاقة الذكية للحساب | تغييرات الحساب لمطالبة المستخدمين بتسجيل الدخول إلى جهاز باستخدام بطاقة ذكية. |
| تم تغيير أنواع التشفير المدعومة من الحساب | تم تغيير أنواع التشفير المدعومة من Kerberos (الأنواع: Des، AES 129، AES 256). |
| تم تغيير إلغاء تأمين الحساب | التغييرات التي تم إجراؤها على إعدادات إلغاء تأمين الحساب. |
| تم تغيير اسم اسم المستخدم الأساسي للحساب | تم تغيير الاسم الأساسي للمستخدم. |
| تم تغيير عضوية المجموعة | تمت إضافة/إزالة المستخدم، إلى/من مجموعة، من قبل مستخدم آخر أو بنفسه. |
| تم تغيير بريد المستخدم | تم تغيير سمة البريد الإلكتروني للمستخدمين. |
| تم تغيير إدارة المستخدم | تم تغيير سمة مدير المستخدم. |
| تم تغيير رقم هاتف المستخدم | تم تغيير سمة رقم هاتف المستخدم. |
| تم تغيير عنوان المستخدم | تم تغيير سمة عنوان المستخدم. |
أنشطة المستخدم المراقبة: عمليات الأمان الأساسية ل AD
| النشاط المراقب | الوصف |
|---|---|
| تم إنشاء حساب المستخدم | تم إنشاء حساب المستخدم. |
| تم إنشاء حساب الكمبيوتر | تم إنشاء حساب الكمبيوتر. |
| تم تغيير أساس الأمان المحذوف | تم حذف/استعادة الحساب (كل من المستخدم والكمبيوتر). |
| تم تغيير اسم العرض الأساسي للأمان | تم تغيير اسم عرض الحساب من X إلى Y. |
| تم تغيير اسم الأمان الأساسي | تم تغيير سمة اسم الحساب. |
| تم تغيير مسار الأمان الأساسي | تم تغيير الاسم المميز للحساب من X إلى Y. |
| تم تغيير اسم Sam الأساسي للأمان | تم تغيير اسم SAM (SAM هو اسم تسجيل الدخول المستخدم لدعم العملاء والخوادم التي تعمل بالإصدارات السابقة من نظام التشغيل). |
أنشطة المستخدم المراقبة: عمليات المستخدم المستندة إلى وحدة التحكم بالمجال
| النشاط المراقب | الوصف |
|---|---|
| النسخ المتماثل لخدمة الدليل | حاول المستخدم نسخ خدمة الدليل نسخا متماثلا. |
| استعلام DNS | نوع مستخدم الاستعلام الذي يتم تنفيذه مقابل وحدة التحكم بالمجال (AXFR، TXT، MX، NS، SRV، ANY، DNSKEY). |
| استرداد كلمة مرور gMSA | تم استرداد كلمة مرور حساب gMSA بواسطة مستخدم. لمراقبة هذا النشاط، يجب جمع الحدث 4662. لمزيد من المعلومات، راجع تكوين مجموعة أحداث Windows. |
| استعلام LDAP | قام المستخدم بإجراء استعلام LDAP. |
| الحركة الجانبية المحتملة | تم تحديد حركة جانبية. |
| تنفيذ PowerShell | حاول المستخدم تنفيذ أسلوب PowerShell عن بعد. |
| استرداد البيانات الخاصة | حاول المستخدم/نجح في الاستعلام عن البيانات الخاصة باستخدام بروتوكول LSARPC. |
| إنشاء الخدمة | حاول المستخدم إنشاء خدمة معينة عن بعد إلى جهاز بعيد. |
| تعداد جلسة SMB | حاول المستخدم تعداد جميع المستخدمين الذين لديهم جلسات SMB مفتوحة على وحدات التحكم بالمجال. |
| نسخة ملف SMB | نسخ المستخدم الملفات باستخدام SMB. |
| استعلام SAMR | قام المستخدم بإجراء استعلام SAMR. |
| جدولة المهام | حاول المستخدم جدولة مهمة X عن بعد إلى جهاز بعيد. |
| تنفيذ Wmi | حاول المستخدم تنفيذ أسلوب WMI عن بعد. |
أنشطة المستخدم المراقبة: عمليات تسجيل الدخول
لمزيد من المعلومات، راجع أنواع تسجيل الدخول المدعومة للجدول IdentityLogonEvents .
أنشطة الجهاز المراقبة: حساب الجهاز
| النشاط المراقب | الوصف |
|---|---|
| تم تغيير نظام تشغيل الكمبيوتر | قم بالتغيير إلى نظام تشغيل الكمبيوتر. |
| تم تغيير SID-History | التغييرات على محفوظات معرف الأمان للكمبيوتر. |