İzlenen etkinlikleri Kimlik için Microsoft Defender
Kimlik için Microsoft Defender, şüpheli etkinlikleri algılamak için kuruluşunuzun Active Directory'sinden oluşturulan bilgileri, ağ etkinliklerini ve olay etkinliklerini izler. İzlenen etkinlik bilgileri, Kimlik için Defender'ın her olası tehdidin geçerliliğini belirlemenize ve doğru şekilde önceliklendirmenize ve yanıtlamanıza yardımcı olmasını sağlar.
Geçerli bir tehdit veya gerçek pozitif bir durum söz konusu olduğunda, Kimlik için Defender her olay için ihlalin kapsamını keşfetmenize, hangi varlıkların söz konusu olduğunu araştırmanıza ve bunların nasıl düzeltileceğini belirlemenize olanak tanır.
Kimlik için Defender tarafından izlenen bilgiler etkinlik biçiminde sunulur. Kimlik için Defender şu anda aşağıdaki etkinlik türlerinin izlenmesini desteklemektedir:
Not
- Bu makale tüm Kimlik için Defender algılayıcı türleriyle ilgilidir.
- Kimlik için Defender izlenen etkinlikleri hem kullanıcı hem de makine profili sayfasında görünür.
- Kimlik için Defender izlenen etkinlikleri Microsoft Defender XDR Gelişmiş Tehdit Avcılığı sayfasında da kullanılabilir.
İpucu
Gelişmiş Tehdit Avcılığı Kimliği ile ilgili tablolarda desteklenen tüm olay türleri (ActionTypedeğerler) hakkında ayrıntılı bilgi için Microsoft Defender XDR'de bulunan yerleşik şema başvurularını kullanın.
İzlenen kullanıcı etkinlikleri: Kullanıcı hesabı AD özniteliği değişiklikleri
| İzlenen etkinlik | Açıklama |
|---|---|
| Hesap Kısıtlanmış Temsil Durumu Değiştirildi | Hesap durumu artık temsilci seçme için etkinleştirildi veya devre dışı bırakıldı. |
| Hesap Kısıtlanmış Temsil SPN'leri Değiştirildi | Kısıtlanmış temsil, belirtilen sunucunun kullanıcı adına işlem yapabilecekleri hizmetleri kısıtlar. |
| Hesap Temsilcisi Değiştirildi | Hesap temsilcisi ayarlarında yapılan değişiklikler. |
| Hesap Devre Dışı Bırakıldı | Hesabın devre dışı mı yoksa etkin mi olduğunu gösterir. |
| Hesabın Süresi Doldu | Hesabın süresinin dolduğu tarih. |
| Hesap Süre Sonu Süresi Değiştirildi | Hesabın süresinin dolmak üzere olduğu tarihe geçin. |
| Hesap Kilitli Değiştirildi | Hesap kilidi ayarlarında yapılan değişiklikler. |
| Hesap Parolası Değiştirildi | Kullanıcı parolasını değiştirdi. |
| Hesap Parolasının Süresi Doldu | Kullanıcının parolasının süresi doldu. |
| Hesap Parolasının Süresi Hiç Değişmedi | Kullanıcının parolasının süresi hiçbir zaman dolmak üzere değiştirildi. |
| Hesap Parolası Değiştirilmedi | Kullanıcı hesabı, boş bir parolayla oturum açma izni verecek şekilde değiştirildi. |
| Hesap Akıllı Kartı Gerekli Değiştirildi | Hesap değişiklikleri, kullanıcıların akıllı kart kullanarak bir cihazda oturum açmasını gerektirir. |
| Hesap Tarafından Desteklenen Şifreleme Türleri Değiştirildi | Kerberos tarafından desteklenen şifreleme türleri değiştirildi (türler: Des, AES 129, AES 256). |
| Hesap Kilidi Açma değiştirildi | Hesap kilidi açma ayarlarında yapılan değişiklikler. |
| Hesap UPN Adı Değiştirildi | Kullanıcının asıl adı değiştirildi. |
| Grup Üyeliği Değiştirildi | Kullanıcı bir gruba, başka bir kullanıcı tarafından veya kendi başına eklendi/kaldırıldı. |
| Kullanıcı Postası Değiştirildi | Kullanıcılar e-posta özniteliği değiştirildi. |
| Kullanıcı Yöneticisi Değiştirildi | Kullanıcının yönetici özniteliği değiştirildi. |
| Kullanıcı Telefon Numarası Değiştirildi | Kullanıcının telefon numarası özniteliği değiştirildi. |
| Kullanıcı Başlığı Değiştirildi | Kullanıcının başlık özniteliği değiştirildi. |
İzlenen kullanıcı etkinlikleri: AD güvenlik sorumlusu işlemleri
| İzlenen etkinlik | Açıklama |
|---|---|
| Kullanıcı Hesabı Oluşturuldu | Kullanıcı hesabı oluşturuldu. |
| Bilgisayar Hesabı Oluşturuldu | Bilgisayar hesabı oluşturuldu. |
| Güvenlik Sorumlusu Silindi | Hesap silindi/geri yüklendi (hem kullanıcı hem de bilgisayar). |
| Güvenlik Sorumlusu Görünen Adı Değiştirildi | Hesap görünen adı X olan Y olarak değiştirildi. |
| Güvenlik Asıl Adı Değiştirildi | Hesap adı özniteliği değiştirildi. |
| Güvenlik Sorumlusu Yolu Değiştirildi | Hesap Ayırt Edici adı X olan Y olarak değiştirildi. |
| Güvenlik Sorumlusu Sam Adı Değiştirildi | SAM adı değiştirildi (SAM, işletim sisteminin önceki sürümlerini çalıştıran istemcileri ve sunucuları desteklemek için kullanılan oturum açma adıdır). |
İzlenen kullanıcı etkinlikleri: Etki alanı denetleyicisi tabanlı kullanıcı işlemleri
| İzlenen etkinlik | Açıklama |
|---|---|
| Dizin Hizmeti Çoğaltma | Kullanıcı dizin hizmetini çoğaltmaya çalıştı. |
| DNS Sorgusu | Etki alanı denetleyicisine karşı gerçekleştirilen sorgu kullanıcısının türü (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| gMSA Parola alma | gMSA hesabı parolası bir kullanıcı tarafından alındı. Bu etkinliği izlemek için olay 4662 toplanmalıdır. Daha fazla bilgi için bkz . Windows Olay koleksiyonunu yapılandırma. |
| LDAP Sorgusu | Kullanıcı bir LDAP sorgusu gerçekleştirdi. |
| Olası yanal hareket | Yanal hareket tespit edildi. |
| PowerShell yürütme | Kullanıcı bir PowerShell yöntemini uzaktan yürütmeye çalıştı. |
| Özel Veri Alma | Kullanıcı LSARPC protokollerini kullanarak özel verileri sorgulamaya çalıştı/başarılı oldu. |
| Hizmet Oluşturma | Kullanıcı, uzak makineye belirli bir hizmeti uzaktan oluşturmaya çalıştı. |
| SMB Oturum Numaralandırması | Kullanıcı, etki alanı denetleyicilerinde açık SMB oturumları olan tüm kullanıcıları listelemeye çalıştı. |
| SMB dosya kopyalama | Kullanıcı SMB kullanarak dosyaları kopyaladı. |
| SAMR Sorgusu | Kullanıcı bir SAMR sorgusu gerçekleştirdi. |
| Görev Zamanlama | Kullanıcı, X görevini uzak bir makineye uzaktan zamanlamayı denedi. |
| Wmi Yürütmesi | Kullanıcı bir WMI yöntemini uzaktan yürütmeye çalıştı. |
İzlenen kullanıcı etkinlikleri: Oturum açma işlemleri
Daha fazla bilgi için bkz. Tablo için IdentityLogonEventsdesteklenen oturum açma türleri.
İzlenen makine etkinlikleri: Makine hesabı
| İzlenen etkinlik | Açıklama |
|---|---|
| Bilgisayar İşletim Sistemi Değiştirildi | Bilgisayar işletim sistemine geçin. |
| SID-History değiştirildi | Bilgisayar SID geçmişinde yapılan değişiklikler. |