Compartilhar via


Atividades monitoradas pelo Microsoft Defender para Identidade

O Microsoft Defender para Identidade monitora as informações geradas no Active Directory, nas atividades de rede e nas atividades de eventos da sua organização para detectar atividades suspeitas. As informações de atividades monitoradas permitem que o Defender para Identidade ajude você a determinar a validade de cada ameaça em potencial e a separar e responder corretamente.

No caso de uma ameaça válida, ou verdadeira positiva, o Defender para Identidade permite que você descubra o escopo da violação para cada incidente, investigue quais entidades estão envolvidas e determine como corrigi-las.

As informações monitoradas pelo Defender para Identidade são apresentadas em forma de atividades. Atualmente, o Defender para Identidade oferece suporte ao monitoramento dos seguintes tipos de atividade:

Observação

  • Este artigo é relevante para todos os tipos de sensor do Defender para Identidade.
  • As atividades monitoradas pelo Defender para Identidade aparecem na página de perfil do usuário e do computador.
  • As atividades monitoradas pelo Defender para Identidade também estão disponíveis na página Busca avançada de ameaças do Microsoft Defender XDR.

Atividades de usuário monitoradas: alterações de atributo do AD da conta de usuário

Atividade monitorada Descrição
Estado de delegação restrita de conta alterado O estado da conta agora está habilitado ou desabilitado para delegação.
SPNs de delegação restrita de conta alterados A delegação restrita restringe os serviços nos quais um determinado servidor pode agir em nome de um usuário.
Delegação de conta alterada Alterações nas configurações de delegação da conta.
Conta desativada alterada Indica se uma conta está desabilitada ou habilitada.
Conta expirada Data em que a conta expira.
Tempo de expiração da conta alterado Altere para a data em que a conta expira.
Conta bloqueada alterada Alterações nas configurações de bloqueio da conta.
Senha da conta alterada O usuário alterou a senha.
Senha da conta expirada A senha do usuário expirou.
Senha da conta nunca expira alterada A senha do usuário foi alterada para nunca expirar.
Senha da conta não obrigatória alterada A conta de usuário foi alterada para permitir o logon com uma senha em branco.
Cartão inteligente da conta obrigatório alterado A conta é alterada para exigir que os usuários façam logon em um dispositivo usando um cartão inteligente.
Tipos de criptografia compatíveis na conta alterados Os tipos de criptografia compatíveis com o Kerberos foram alterados (tipos: Des, AES 129, AES 256)
Desbloqueio da conta alterado Alterações nas configurações de desbloqueio da conta
Nome UPN da conta alterado O nome principal do usuário foi alterado.
Associação de grupo alterada Um usuário foi adicionado/removido para/de um grupo por outro usuário ou por ele mesmo.
Email do usuário alterado O atributo de email do usuários foi alterado.
Gerenciador de usuários alterado O atributo de gerenciador do usuário foi alterado.
Número de telefone do usuário alterado O atributo de número de telefone do usuário foi alterado.
Título do usuário alterado O atributo de título do usuário foi alterado.

Atividades de usuário monitoradas: operações de entidade de segurança do AD

Atividade monitorada Descrição
Conta de usuário criada Uma conta de usuário foi criada
Conta de computador criada A conta de computador foi criada.
Entidade de segurança excluída alterada A conta foi excluída/restaurada (usuário e computador).
Nome de exibição da entidade de segurança alterado O nome de exibição da conta foi alterado de X para Y.
Nome da entidade de segurança alterado O atributo de nome da conta foi alterado.
Caminho da entidade de segurança alterado O nome diferenciado da conta foi alterado de X para Y.
Nome da entidade de segurança Sam alterado Nome SAM alterado (SAM é o nome de logon usado para dar suporte a clientes e servidores que executam versões mais antigas de um sistema operacional).

Atividades de usuário monitoradas: operações de usuário baseadas em controlador de domínio

Atividade monitorada Descrição
Replicação do Serviço de Diretório O usuário tentou replicar o serviço de diretório.
Consulta DNS Tipo de consulta do usuário executada no controlador de domínio (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY).
Recuperação de senha gMSA A senha da conta gMSA foi recuperada por um usuário.
Para monitorar essa atividade, o evento 4662 deve ser coletado. Para obter mais informações, confira Configurar a coleta de eventos do Windows.
Consulta LDAP O usuário executou uma consulta LDAP.
Movimentação lateral em potencial Uma movimentação lateral foi identificada.
Execução do PowerShell O usuário tentou executar remotamente um método do PowerShell.
Recuperação de dados privados O usuário tentou/conseguiu consultar dados privados usando o protocolo LSARPC.
Criação de serviço O usuário tentou criar remotamente um serviço específico para um computador remoto.
Enumeração de sessão de SMB O usuário tentou enumerar todos os usuários com sessões SMB abertas nos controladores de domínio.
Cópia de arquivo SMB O usuário copiou arquivos usando SMB.
Consulta SAMR O usuário executou uma consulta SAMR.
Agendamento de tarefas O usuário tentou agendar remotamente a tarefa X para um computador remoto.
Execução Wmi O usuário tentou executar remotamente um método WMI.

Atividades de usuário monitoradas: operações de logon

Para obter mais informações, consulte Tipos de logon com suporte para a IdentityLogonEvents tabela.

Atividades de computador monitoradas: conta de computador

Atividade monitorada Descrição
Sistema operacional do computador alterado Alteração no SO do computador.
Histórico SID alterado Alterações no histórico de SID do computador.

Confira também