تنبيهات الأمان في Microsoft Defender for Identity

ملاحظة

يمكن الوصول إلى التجربة الموضحة https://security.microsoft.com في هذه الصفحة كجزء من Microsoft Defender XDR.

تشرح تنبيهات الأمان Microsoft Defender for Identity الأنشطة المشبوهة التي تم اكتشافها بواسطة مستشعرات Defender for Identity على شبكتك، والجهات الفاعلة وأجهزة الكمبيوتر المشاركة في كل تهديد. تحتوي قوائم أدلة التنبيه على ارتباطات مباشرة للمستخدمين وأجهزة الكمبيوتر المعنية، للمساعدة في جعل تحقيقاتك سهلة ومباشرة.

تنقسم تنبيهات أمان Defender for Identity إلى الفئات أو المراحل التالية، مثل المراحل التي شوهدت في سلسلة قتل نموذجية للهجوم الإلكتروني. تعرف على المزيد حول كل مرحلة، والتنبيهات المصممة للكشف عن كل هجوم، وكيفية استخدام التنبيهات للمساعدة في حماية شبكتك باستخدام الارتباطات التالية:

  1. تنبيهات الاستطلاع والاكتشاف
  2. تنبيهات المثابرة وتصعيد الامتيازات
  3. تنبيهات الوصول إلى بيانات الاعتماد
  4. تنبيهات الحركة الجانبية
  5. تنبيهات أخرى

لمعرفة المزيد حول البنية والمكونات الشائعة لجميع تنبيهات أمان Defender for Identity، راجع فهم تنبيهات الأمان.

تعيين اسم تنبيه الأمان والمعرفات الخارجية الفريدة

يسرد الجدول التالي التعيين بين أسماء التنبيهات ومعرفاتها الخارجية الفريدة المقابلة وشدتها وتكتيك مصفوفة™ MITRE ATT&CK. عند استخدامها مع البرامج النصية أو الأتمتة، توصي Microsoft باستخدام معرفات التنبيه الخارجية بدلا من أسماء التنبيهات، لأن معرفات تنبيه الأمان الخارجية هي فقط دائمة، ولا تخضع للتغيير.

معرفات خارجية

اسم تنبيه الأمان معرف خارجي فريد شده مصفوفة™ MITRE ATT&CK
حقن SID-History مشتبه به 1106 عال تصعيد الامتياز
يشتبه في هجوم overpass-the-hash (Kerberos) 2002 متوسط الحركة الجانبية
استطلاع تعداد الحساب 2003 متوسط اكتشاف
هجوم مشتبه به للقوة الغاشمة (LDAP) 2004 متوسط الوصول إلى بيانات الاعتماد
هجوم DCSync المشتبه به (النسخ المتماثل لخدمات الدليل) 2006 عال الوصول إلى بيانات الاعتماد، الثبات
استطلاع تعيين الشبكة (DNS) 2007 متوسط اكتشاف
يشتبه في تجاوز هجوم التجزئة (نوع التشفير القسري) 2008 متوسط الحركة الجانبية
الاستخدام المشتبه به للتذكرة الذهبية (الرجوع إلى إصدار أقدم للتشفير) 2009 متوسط المثابرة، تصعيد الامتياز، الحركة الجانبية
هجوم مفتاح الهيكل العظمي المشتبه به (إصدار أقدم للتشفير) 2010 متوسط المثابرة، الحركة الجانبية
استكشاف عنوان IP والمستخدم (SMB) 2012 متوسط اكتشاف
يشتبه في استخدام البطاقة الذهبية (بيانات التخويل المزورة) 2013 عال الوصول إلى بيانات الاعتماد
نشاط مصادقة الرمز المميز للعسل 2014 متوسط الوصول إلى بيانات الاعتماد، الاكتشاف
سرقة الهوية المشتبه بها (تمرير التجزئة) 2017 عال الحركة الجانبية
سرقة الهوية المشتبه بها (تمرير البطاقة) 2018 مرتفع أو متوسط الحركة الجانبية
محاولة تنفيذ التعليمات البرمجية عن بعد 2019 متوسط التنفيذ، المثابرة، تصعيد الامتياز، التهرب الدفاعي، الحركة الجانبية
طلب ضار للمفتاح الرئيسي لواجهة برمجة تطبيقات حماية البيانات 2020 عال الوصول إلى بيانات الاعتماد
استطلاع عضوية المستخدم والمجموعة (SAMR) 2021 متوسط اكتشاف
يشتبه في استخدام البطاقة الذهبية (شذوذ الوقت) 2022 عال المثابرة، تصعيد الامتياز، الحركة الجانبية
هجوم مشتبه به للقوة الغاشمة (Kerberos، NTLM) 2023 متوسط الوصول إلى بيانات الاعتماد
الإضافات المشبوهة للمجموعات الحساسة 2024 متوسط الثبات، الوصول إلى بيانات الاعتماد،
اتصال VPN مريب 2025 متوسط التهرب الدفاعي، المثابرة
إنشاء خدمة مشبوهة 2026 متوسط التنفيذ، والمثابرة، وتصعيد الامتياز، والتهرب الدفاعي، والحركة الجانبية
يشتبه في استخدام البطاقة الذهبية (حساب غير موجود) 2027 عال المثابرة، تصعيد الامتياز، الحركة الجانبية
هجوم DCShadow المشتبه به (ترقية وحدة التحكم بالمجال) 2028 عال التهرب الدفاعي
هجوم DCShadow المشتبه به (طلب النسخ المتماثل لوحدة التحكم بالمجال) 2029 عال التهرب الدفاعي
النقل غير المصرح للبيانات عبر SMB 2030 عال النقل غير المصرح به والحركة الجانبية والأمر والتحكم
اتصال مشبوه عبر DNS 2031 متوسط النقل غير المصرح به
الاستخدام المشتبه به للتذكرة الذهبية (حالة شاذة للتذكرة) 2032 عال المثابرة، تصعيد الامتياز، الحركة الجانبية
هجوم مشتبه به للقوة الغاشمة (SMB) 2033 متوسط الحركة الجانبية
الاستخدام المشتبه به لإطار عمل اختراق Metasploit 2034 متوسط الحركة الجانبية
يشتبه في هجوم برامج الفدية الضارة WannaCry 2035 متوسط الحركة الجانبية
تنفيذ التعليمات البرمجية عن بعد عبر DNS 2036 متوسط الحركة الجانبية، تصعيد الامتياز
هجوم ترحيل NTLM المشتبه به 2037 متوسط أو منخفض إذا تمت ملاحظته باستخدام بروتوكول NTLM v2 الموقع الحركة الجانبية، تصعيد الامتياز
الاستطلاع الأساسي للأمان (LDAP) 2038 عالية (في حالة حدوث مشكلات في الحلول أو تم الكشف عن أداة محددة) ومتوسطة الوصول إلى بيانات الاعتماد
العبث بمصادقة NTLM المشتبه به 2039 متوسط الحركة الجانبية، تصعيد الامتياز
يشتبه في استخدام البطاقة الذهبية (مخالفة تذكرة باستخدام RBCD) 2040 عال استمرار
يشتبه في استخدام شهادة Kerberos المارقة 2047 عال الحركة الجانبية
محاولة تفويض Kerberos المشبوهة باستخدام أسلوب BronzeBit (استغلال CVE-2020-17049) 2048 متوسط الوصول إلى بيانات الاعتماد
استكشاف سمات Active Directory (LDAP) 2210 متوسط اكتشاف
معالجة حزمة SMB المشتبه بها (استغلال CVE-2020-0796) 2406 عال الحركة الجانبية
يشتبه في تعرض Kerberos SPN 2410 عال الوصول إلى بيانات الاعتماد
محاولة رفع امتيازات Netlogon المشتبه بها (استغلال CVE-2020-1472) 2411 عال تصعيد الامتياز
يشتبه في هجوم التحميص AS-REP 2412 عال الوصول إلى بيانات الاعتماد
قراءة مفتاح AD FS DKM المشتبه به 2413 عال الوصول إلى بيانات الاعتماد
Exchange Server تنفيذ التعليمات البرمجية عن بعد (CVE-2021-26855) 2414 عال الحركة الجانبية
محاولة الاستغلال المشتبه بها على خدمة Windows Print Spooler 2415 مرتفع أو متوسط الحركة الجانبية
اتصال شبكة مشبوه عبر بروتوكول تشفير نظام الملفات البعيد 2416 مرتفع أو متوسط الحركة الجانبية
طلب تذكرة Kerberos المشتبه به 2418 عال الوصول إلى بيانات الاعتماد
تعديل مشبوه لسمة sAMNameAccount (استغلال CVE-2021-42278 وCVE-2021-42287) 2419 عال الوصول إلى بيانات الاعتماد
تعديل مشبوه لعلاقة الثقة لخادم AD FS 2420 متوسط تصعيد الامتياز
تعديل مشبوه لسمة dNSHostName (CVE-2022-26923) 2421 عال تصعيد الامتياز
محاولة تفويض Kerberos المشبوهة بواسطة كمبيوتر تم إنشاؤه حديثا 2422 عال تصعيد الامتياز
تعديل مريب لسمة التفويض المقيد المستند إلى الموارد بواسطة حساب جهاز 2423 عال تصعيد الامتياز
مصادقة خدمات الأمان المشترك لـ Active Directory غير طبيعية (AD FS) باستخدام شهادة مريبة 2424 عال الوصول إلى بيانات الاعتماد
استخدام الشهادة المشبوهة عبر بروتوكول Kerberos (PKINIT) 2425 عال الحركة الجانبية
هجوم DFSCoerce المشتبه به باستخدام بروتوكول نظام الملفات الموزعة 2426 عال الوصول إلى بيانات الاعتماد
تم تعديل سمات مستخدم الرمز المميز للعسل 2427 عال استمرار
تم تغيير عضوية مجموعة الرمز المميز للعسل 2428 عال استمرار
تم الاستعلام عن الرمز المميز للعسل عبر LDAP 2429 منخفض اكتشاف
تعديل مشبوه للمجال AdminSdHolder 2430 عال استمرار
استيلاء الحساب المشتبه به باستخدام بيانات اعتماد الظل 2431 عال الوصول إلى بيانات الاعتماد
طلب شهادة وحدة تحكم المجال المشبوهة (ESC8) 2432 عال تصعيد الامتياز
الحذف المشبوه لإدخالات قاعدة بيانات الشهادة 2433 متوسط التهرب الدفاعي
تعطيل مشبوه لعوامل تصفية التدقيق ل AD CS 2434 متوسط التهرب الدفاعي
التعديلات المشبوهة على أذونات/إعدادات أمان AD CS 2435 متوسط تصعيد الامتياز
استكشاف تعداد الحساب (LDAP) ( معاينة) 2437 متوسط اكتشاف الحساب، حساب المجال
تغيير كلمة مرور وضع استعادة خدمات الدليل 2438 متوسط الاستمرارية، معالجة الحساب
تم الاستعلام عن الرمز المميز للعسل عبر SAM-R 2439 منخفض اكتشاف
العبث نهج المجموعة 2440 متوسط التهرب الدفاعي

ملاحظة

لتعطيل أي تنبيه أمان، اتصل بالدعم.

انظر أيضاً