Microsoft Defender for Identity monitorowane działania
Microsoft Defender for Identity monitoruje informacje generowane z usługi Active Directory organizacji, działań sieciowych i działań zdarzeń w celu wykrywania podejrzanych działań. Monitorowane informacje o działaniach umożliwiają usłudze Defender for Identity określenie ważności każdego potencjalnego zagrożenia oraz prawidłowe klasyfikowanie i reagowanie.
W przypadku prawidłowego zagrożenia lub prawdziwie pozytywnego, usługa Defender for Identity umożliwia odnalezienie zakresu naruszenia dla każdego incydentu, zbadanie, które jednostki są zaangażowane, i określenie sposobu ich skorygowania.
Informacje monitorowane przez usługę Defender for Identity są prezentowane w formie działań. Usługa Defender for Identity obecnie obsługuje monitorowanie następujących typów działań:
Uwaga
- Ten artykuł jest odpowiedni dla wszystkich typów czujników usługi Defender for Identity.
- Działania monitorowane przez usługę Defender for Identity są wyświetlane zarówno na stronie profilu użytkownika, jak i profilu komputera.
- Działania monitorowane przez usługę Defender for Identity są również dostępne na stronie zaawansowanego wyszukiwania zagrożeń w Microsoft Defender XDR.
Porada
Aby uzyskać szczegółowe informacje na temat wszystkich obsługiwanych typów zdarzeń (ActionTypewartości) w tabelach związanych z zaawansowaną tożsamością wyszukiwania zagrożeń, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.
Monitorowane działania użytkowników: zmiany atrybutu usługi AD konta użytkownika
| Monitorowane działanie | Opis |
|---|---|
| Zmieniono stan ograniczonego delegowania konta | Stan konta jest teraz włączony lub wyłączony dla delegowania. |
| Zmieniono nazwy SPN ograniczonego delegowania konta | Ograniczone delegowanie ogranicza usługi, do których określony serwer może działać w imieniu użytkownika. |
| Zmieniono delegowanie konta | Zmiany ustawień delegowania konta. |
| Zmieniono konto | Wskazuje, czy konto jest wyłączone, czy włączone. |
| Konto wygasło | Data wygaśnięcia konta. |
| Zmieniono czas wygaśnięcia konta | Zmień datę wygaśnięcia konta. |
| Konto zablokowane zmienione | Zmiany ustawień blokady konta. |
| Zmieniono hasło konta | Użytkownik zmienił hasło. |
| Hasło konta wygasło | Hasło użytkownika wygasło. |
| Hasło konta nigdy nie wygasa | Hasło użytkownika zostało zmienione tak, aby nigdy nie wygasało. |
| Zmieniono hasło konta, które nie jest wymagane | Konto użytkownika zostało zmienione, aby zezwolić na logowanie przy użyciu pustego hasła. |
| Zmieniono wymaganą kartę inteligentną konta | Zmiany konta wymagające zalogowania się użytkowników na urządzeniu przy użyciu karty inteligentnej. |
| Zmieniono typy szyfrowania obsługiwane przez konto | Zmieniono obsługiwane typy szyfrowania Kerberos (typy: Des, AES 129, AES 256). |
| Odblokowanie konta zostało zmienione | Zmiany ustawień odblokowywania konta. |
| Zmieniono nazwę nazwy UPN konta | Główna nazwa użytkownika została zmieniona. |
| Zmieniono członkostwo w grupie | Użytkownik został dodany/usunięty do/z grupy, przez innego użytkownika lub przez siebie. |
| Zmieniono pocztę użytkownika | Atrybut wiadomości e-mail użytkowników został zmieniony. |
| Menedżer użytkowników został zmieniony | Atrybut menedżera użytkownika został zmieniony. |
| Zmieniono numer telefonu użytkownika | Atrybut numeru telefonu użytkownika został zmieniony. |
| Zmieniono tytuł użytkownika | Atrybut tytułu użytkownika został zmieniony. |
Monitorowane działania użytkowników: operacje podmiotu zabezpieczeń usługi AD
| Monitorowane działanie | Opis |
|---|---|
| Utworzone konto użytkownika | Konto użytkownika zostało utworzone. |
| Utworzone konto komputera | Utworzono konto komputera. |
| Usunięto jednostkę zabezpieczeń | Konto zostało usunięte/przywrócone (zarówno użytkownik, jak i komputer). |
| Zmieniono główną nazwę wyświetlaną zabezpieczeń | Nazwa wyświetlana konta została zmieniona z X na Y. |
| Zmieniono główną nazwę zabezpieczeń | Atrybut nazwy konta został zmieniony. |
| Zmieniono ścieżkę podmiotu zabezpieczeń | Nazwa wyróżniająca konta została zmieniona z X na Y. |
| Zmieniono nazwę sam podmiotu zabezpieczeń | Zmieniono nazwę SAM (SAM to nazwa logowania używana do obsługi klientów i serwerów z uruchomionymi wcześniejszymi wersjami systemu operacyjnego). |
Monitorowane działania użytkownika: operacje użytkownika oparte na kontrolerze domeny
| Monitorowane działanie | Opis |
|---|---|
| Replikacja usługi katalogowej | Użytkownik próbował replikować usługę katalogową. |
| Zapytanie DNS | Typ zapytania użytkownika wykonywanego względem kontrolera domeny (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
| Pobieranie haseł gMSA | Hasło konta gMSA zostało pobrane przez użytkownika. Aby monitorować to działanie, należy zebrać zdarzenie 4662. Aby uzyskać więcej informacji, zobacz Konfigurowanie kolekcji zdarzeń systemu Windows. |
| Zapytanie LDAP | Użytkownik wykonał zapytanie LDAP. |
| Potencjalny ruch boczny | Zidentyfikowano ruch boczny. |
| Wykonywanie programu PowerShell | Użytkownik próbował zdalnie wykonać metodę programu PowerShell. |
| Pobieranie danych prywatnych | Użytkownik próbował/pomyślnie wykonać zapytanie dotyczące danych prywatnych przy użyciu protokołu LSARPC. |
| Tworzenie usługi | Użytkownik próbował zdalnie utworzyć określoną usługę dla maszyny zdalnej. |
| Wyliczenie sesji SMB | Użytkownik próbował wyliczyć wszystkich użytkowników z otwartymi sesjami SMB na kontrolerach domeny. |
| Kopiowanie pliku SMB | Użytkownik skopiował pliki przy użyciu protokołu SMB. |
| Zapytanie SAMR | Użytkownik wykonał zapytanie SAMR. |
| Planowanie zadań | Użytkownik próbował zdalnie zaplanować zadanie X na maszynie zdalnej. |
| Wykonywanie usługi Wmi | Użytkownik próbował zdalnie wykonać metodę WMI. |
Monitorowane działania użytkowników: operacje logowania
Aby uzyskać więcej informacji, zobacz Obsługiwane typy logowania dla IdentityLogonEvents tabeli.
Monitorowane działania maszyny: konto maszyny
| Monitorowane działanie | Opis |
|---|---|
| Zmieniono system operacyjny komputera | Przejdź do systemu operacyjnego komputera. |
| SID-History zmieniono | Zmiany w historii identyfikatorów SID komputera. |