Microsoft Defender для удостоверений отслеживаемые действия
Microsoft Defender для удостоверений отслеживает сведения, созданные из Active Directory вашей организации, сетевых действий и действий событий для обнаружения подозрительных действий. Отслеживаемые сведения о действиях позволяют Defender для удостоверений определять допустимость каждой потенциальной угрозы и правильно выполнять и реагировать.
В случае допустимой угрозы или истинной положительной функции Defender для удостоверений вы можете обнаружить область нарушения для каждого инцидента, исследовать, какие сущности вовлечены, и определить, как их исправить.
Сведения, отслеживаемые Defender для удостоверений, представлены в виде действий. Defender для удостоверений в настоящее время поддерживает мониторинг следующих типов действий:
Примечание.
- Эта статья относится ко всем типам датчиков Defender для удостоверений.
- Отслеживаемые действия Defender для удостоверений отображаются на странице профиля пользователя и компьютера.
- Отслеживаемые действия Defender для удостоверений также доступны на странице расширенной охоты XDR в Microsoft Defender.
Отслеживаемые действия пользователей: изменения атрибута AD учетной записи пользователя
| Отслеживаемое действие | Description |
|---|---|
| Изменено состояние ограниченного делегирования учетной записи | Теперь состояние учетной записи включено или отключено для делегирования. |
| Изменены имена субъектов-служб ограниченного делегирования учетных записей | Ограниченное делегирование ограничивает службы, которым указанный сервер может действовать от имени пользователя. |
| Изменено делегирование учетных записей | Изменения параметров делегирования учетной записи |
| Изменена учетная запись | Указывает, отключена ли учетная запись или включена. |
| Истек срок действия учетной записи | Дата истечения срока действия учетной записи. |
| Время истечения срока действия учетной записи изменилось | Измените дату истечения срока действия учетной записи. |
| Изменена учетная запись | Изменения параметров блокировки учетной записи. |
| Изменен пароль учетной записи | Пользователь изменил свой пароль. |
| Срок действия пароля учетной записи истек | Срок действия пароля пользователя истек. |
| Срок действия пароля учетной записи никогда не истекает | Срок действия пароля пользователя не истекает. |
| Пароль учетной записи не требуется | Учетная запись пользователя была изменена, чтобы разрешить вход с пустым паролем. |
| Необходимые изменения для смарт-карты учетной записи | Изменения учетной записи, необходимые пользователям для входа на устройство с помощью смарт-карты. |
| Изменены поддерживаемые учетные записи типы шифрования | Изменены поддерживаемые типы шифрования Kerberos (типы: Des, AES 129, AES 256) |
| Изменение разблокировки учетной записи | Изменения параметров разблокировки учетной записи |
| Изменено имя участника-пользователя учетной записи | Имя принципа пользователя было изменено. |
| Изменено членство в группах | Пользователь был добавлен или удален, в группу или из нее другим пользователем или самим собой. |
| Изменена почта пользователя | Атрибут электронной почты пользователей был изменен. |
| Изменен диспетчер пользователей | Изменен атрибут руководителя пользователя. |
| Изменен номер телефона пользователя | Атрибут номера телефона пользователя был изменен. |
| Изменено название пользователя | Атрибут заголовка пользователя был изменен. |
Отслеживаемые действия пользователей: операции субъекта безопасности AD
| Отслеживаемое действие | Description |
|---|---|
| Созданная учетная запись пользователя | Созданная учетная запись пользователя |
| Созданная учетная запись компьютера | Созданная учетная запись компьютера |
| Изменено удаление субъекта безопасности | Учетная запись была удалена или восстановлена (как пользователь, так и компьютер). |
| Изменено отображаемое имя субъекта безопасности | Отображаемое имя учетной записи было изменено с X на Y. |
| Изменено имя субъекта безопасности | Атрибут имени учетной записи был изменен. |
| Изменен путь субъекта безопасности | Различающееся имя учетной записи было изменено с X на Y. |
| Изменено имя субъекта безопасности Sam | Имя SAM изменено (SAM — это имя входа, используемое для поддержки клиентов и серверов с более ранними версиями операционной системы). |
Отслеживаемые действия пользователей: операции на основе контроллера домена
| Отслеживаемое действие | Description |
|---|---|
| Репликация службы каталогов | Пользователь пытался реплицировать службу каталогов. |
| DNS-запрос | Тип пользователя запроса, выполняемого с контроллером домена (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
| Получение пароля gMSA | Пароль учетной записи gMSA был получен пользователем. Чтобы отслеживать это действие, необходимо собрать событие 4662. Дополнительные сведения см. в разделе "Настройка коллекции событий Windows". |
| Запрос LDAP | Пользователь выполнил запрос LDAP. |
| Потенциальное боковое движение | Было определено боковое движение. |
| Выполнение PowerShell | Пользователь пытался удаленно выполнить метод PowerShell. |
| Получение частных данных | Пользователь попытался запросить частные данные с помощью протокола LSARPC. |
| Создание службы | Пользователь попытался удаленно создать определенную службу на удаленном компьютере. |
| Перечисление сеансов SMB | Пользователь попытался перечислить всех пользователей с открытыми сеансами SMB на контроллерах домена. |
| Копирование SMB-файла | Скопированные пользователем файлы с помощью SMB |
| Запрос SAMR | Пользователь выполнил запрос SAMR. |
| Планирование задач | Пользователь пытался удаленно запланировать задачу X на удаленный компьютер. |
| Выполнение Wmi | Пользователь попытался удаленно выполнить метод WMI. |
Отслеживаемые действия пользователей: операции входа
Дополнительные сведения см. в разделе Поддерживаемые типы входа в таблицу IdentityLogonEvents .
Отслеживаемые действия компьютера: учетная запись компьютера
| Отслеживаемое действие | Description |
|---|---|
| Изменена операционная система компьютера | Перейдите на компьютерную ОС. |
| Изменена история sid-History | Изменения журнала безопасности компьютера |