受 Microsoft Defender for Identity 监视的活动

Microsoft Defender for Identity 会监视从组织的 Active Directory、网络活动和事件活动生成的信息,以检测可疑活动。 监视的活动信息使 Defender for Identity 能够帮助你确定每个潜在威胁的有效性,并正确地进行分类和响应。

如果存在有效的威胁或真阳性,Defender for Identity 使你能够发现每个事件的泄露范围,调查涉及的实体,并确定如何修正。

受 Defender for Identity 监视的信息将以活动形式显示。 Defender for Identity 当前支持监视以下活动类型:

注意

  • 本文章适用于所有 Defender for Identity 传感器类型。
  • 受 Defender for Identity 监视的活动会同时显示在用户和计算机配置文件页上。
  • 在 Microsoft Defender XDR 的高级搜寻页面中也提供了受 Defender for Identity 监视的活动。

受监视的用户活动:用户帐户 AD 属性更改

受监视的活动 说明
帐户约束委派状态已更改 帐户状态现在已启用或停用委派。
帐户约束委派 SPN 已更改 约束委派限制了指定服务器可代表用户执行的服务。
帐户委派已更改 帐户委派设置发生更改
禁用的帐户已更改 指示是禁用还是启用帐户。
帐户已过期 帐户过期的日期。
帐户过期时间已更改 帐户过期日期发生更改。
锁定的帐户已更改 帐户锁定设置发生更改。
帐户密码已更改 用户已更改密码。
帐户密码已过期 用户的密码已过期。
帐户密码永不过期已更改 用户密码已更改为永不过期。
不需要帐户密码已更改 用户帐户已更改为允许使用空白密码登录。
帐户智能卡要求已更改 帐户更改为要求用户使用任务智能卡登录到设备。
帐户支持的加密类型已更改 Kerberos 支持的加密类型已更改(类型:Des、AES 129、AES 256)
帐户解除锁定已更改 帐户解除锁定设置发生更改
帐户 UPN 名称已更改 用户的主体名称已更改。
组成员资格已更改 用户由其他用户或他们自己添加到组或从组中移除。
用户邮件已更改 用户的电子邮件属性已更改。
用户经理已更改 用户的经理属性已更改。
用户电话号码已更改 用户的电话号码属性已更改。
用户职位已更改 用户的职位属性已更改。

受监视的用户活动:AD 安全主体操作

受监视的活动 说明
已创建用户帐户 已创建了用户帐户
已创建计算机帐户 已创建计算机帐户
删除的安全主体已更改 帐户已删除/还原(包括用户和计算机)。
安全主体显示名称已更改 帐户显示名称已从 X 更改为 Y。
安全主体名称已更改 帐户名称属性已更改。
安全主体路径已更改 帐户可分辨名称已从 X 更改为 Y。
安全主体 Sam 名称已更改 SAM 名称已更改(SAM 是用于支持运行早期版本操作系统的客户端和服务器的登录名)。

受监视的用户活动:基于域控制器的用户操作

受监视的活动 说明
目录服务复制 用户尝试复制目录服务。
DNS 查询 针对域控制器执行的查询用户的类型(AXFRTXTMXNSSRVANYDNSKEY)。
gMSA 密码检索 用户检索了 gMSA 帐户密码。
要监视此活动,必须收集事件 4662。 有关详细信息,请参阅配置 Windows事件收集
LDAP 查询 用户执行 LDAP 查询。
潜在横向移动 发现了横向移动。
PowerShell 执行 用户尝试远程执行 PowerShell 方法。
私人数据检索 用户尝试/成功使用 LSARPC 协议查询私人数据。
服务创建 用户尝试远程创建到远程计算机的特定服务。
SMB 会话枚举 用户尝试枚举域控制器上打开了 SMB 会话的所有用户。
SMB 文件复制 用户使用 SMB 拷贝的文件
SAMR 查询 用户执行了 SAMR 查询。
任务计划 用户试图将 X 任务远程安排到远程计算机。
Wmi 执行 用户试图远程执行 WMI 方法。

受监视的用户活动:登录操作

有关详细信息,请参阅 IdentityLogonEvents支持的登录类型

受监视的计算机活动:计算机帐户

受监视的活动 说明
计算机操作系统已更改 计算机 OS 发生更改。
SID 历史记录已更改 计算机 SID 历史记录发生更改

另请参阅