檢視次數:
身份安全使用來自 Active Directory(內部部署)的資料進行身份相關的安全威脅偵測和身份資產發現。
下表列出了身份安全用於身份相關安全威脅偵測的 Windows 事件資料。
類別
事件 ID
說明
4624
帳戶已成功登入。
4625
帳戶登入失敗。
4634
帳戶已登出。
4672
已為新登入分配特殊權限。
4661
已請求物件的控制代碼。
4662
已對物件執行了一項操作。
4720
已建立使用者帳號。
4726
使用者帳號已被刪除。
4728
已將成員新增至已啟動的安全性全域群組。
4732
已將成員新增至已啟動的本機安全群組
4769
已請求 Kerberos 服務票證。
4776
電腦防護嘗試驗證帳戶的憑證。
下表列出了身份安全用於身份資產發現的 Active Directory 資料。

類別
資料
使用者資訊
  • 規範名稱
  • 使用者名稱
  • SAM 帳號
  • 使用者主體名稱
  • 使用者顯示名稱
  • 說明
  • 辨別名稱
  • 名字
  • 姓氏
  • 電子郵件地址
  • 公司名稱
  • 部門
  • 職稱
  • SID
  • 帳戶已啟動
  • 網域
  • 直接父群組
  • 所有父群組
  • 使用位置資訊
  • 上次密碼更改時間
群組資訊
  • 規範名稱
  • 說明
  • 辨別名稱
  • 成員
  • SAM 帳號
  • 顯示名稱
  • 電子郵件地址
  • 直接父群組
  • 所有父群組
  • 直接成員
  • 所有成員
電腦防護資訊
  • 規範名稱
  • 辨別名稱
  • 國家代碼
  • 顯示名稱
  • 說明
  • SAM 帳號
  • DNS 主機名稱
  • 密碼錯誤時間
  • 錯誤密碼次數
  • 上次登入
  • 上次登出
  • 登入次數
  • 作業系統
  • 服務主體名稱
  • 直接父群組
  • 所有父群組
事件記錄檔
  • 時間戳記
  • 代理程式 ID
  • 系統事件 ID
  • 系統時間已建立
  • 系統安全
  • 系統電腦防護
  • IP 位址
  • IP 埠
  • 登入類型
  • 成員 SID
  • 新的 UAC 值
  • 舊的 UAC 值
  • 上次設定密碼
  • 主要群組 ID
  • 權限清單
  • 程序 ID
  • 程序名稱
  • 服務名稱
  • 服務 SID
  • 狀態
  • 子狀態
  • 主題網域名稱
  • 主體登入 ID
  • 主體使用者名稱
  • 主體使用者 SID
  • 目標網域名稱
  • 目標連結登入 ID
  • 目標登入 ID
  • 目標 SID
  • 目標使用者名稱
  • 目標使用者 SID
  • 虛擬帳戶
  • Workstation
  • 工作站名稱