Výstrahy zabezpečení v programu Microsoft Defender for Identity

Poznámka:

K prostředí popsanému na této stránce se dá přistupovat https://security.microsoft.com jako součást XDR v programu Microsoft Defender.

Výstrahy zabezpečení v programu Microsoft Defender for Identity vysvětlují podezřelé aktivity zjištěné senzory defenderu for Identity ve vaší síti a aktéři a počítače zapojené do každé hrozby. Seznamy důkazů výstrah obsahují přímé odkazy na zúčastněné uživatele a počítače, které vám pomůžou usnadnit a přímo provést šetření.

Výstrahy zabezpečení Defenderu for Identity jsou rozdělené do následujících kategorií nebo fází, jako jsou fáze typického řetězce útoku kyber-útoku. Přečtěte si další informace o jednotlivých fázích, výstrahách navržených k detekci jednotlivých útoků a o tom, jak pomocí výstrah chránit vaši síť pomocí následujících odkazů:

1. Rekognoskace a upozornění zjišťování
2. Upozornění eskalace trvalosti a oprávnění
3. Upozornění na přístup k přihlašovacím údajům
4. Upozornění laterálního pohybu
5. Další výstrahy

Další informace o struktuře a společných komponentách všech výstrah zabezpečení služby Defender for Identity najdete v tématu Vysvětlení výstrah zabezpečení.

Mapování názvů výstrah zabezpečení a jedinečné externí ID

Následující tabulka uvádí mapování mezi názvy výstrah, jejich odpovídajícími jedinečnými externími ID, závažností a taktikou MITRE ATT&CK Matrix™. Pokud používáte skripty nebo automatizaci, Společnost Microsoft doporučuje místo názvů výstrah používat externí ID výstrah, protože pouze externí ID výstrah zabezpečení jsou trvalá a nemusí se měnit.

Externí ID

Název výstrahy zabezpečení	Jedinečné externí ID	Závažnost	MITRE ATT&CK Matrix™
Podezření na injektáž historie identifikátorů SID	1106	Nejvyšší	Elevace oprávnění
Podezřelý útok overpass-the-hash (Kerberos)	2002	střední	Laterální pohyb
Rekognoskace účtů	2003	střední	Zjišťování
Podezřelý útok hrubou silou (LDAP)	2004	střední	Přístup k přihlašovacím údajům
Podezřelý útok DCSync (replikace adresářových služeb)	2006	Nejvyšší	Přístup k přihlašovacím údajům, trvalost
Rekognoskace mapování sítě (DNS)	2007	střední	Zjišťování
Podezření na útok over-pass-the-hash (typ vynuceného šifrování)	2008	střední	Laterální pohyb
Podezřelé použití zlatého lístku (downgrade šifrování)	2009	střední	Trvalost, eskalace oprávnění, laterální pohyb
Podezřelý útok skeleton key (downgrade šifrování)	2010	střední	Trvalost, laterální pohyb
Rekognoskace uživatelů a IP adres (SMB)	2012	střední	Zjišťování
Podezření na použití zlatého lístku (zkopírovaná autorizační data)	2013	Nejvyšší	Přístup k přihlašovacím údajům
Aktivita ověřování Honeytokenu	2014	střední	Přístup k přihlašovacím údajům, zjišťování
Podezření na krádež identity (pass-the-hash)	2017	Nejvyšší	Laterální pohyb
Podezření na krádež identity (pass-the-ticket)	2018	Vysoká nebo střední	Laterální pohyb
Pokus o vzdálené spuštění kódu	2019	střední	Výkon, Trvalost, Eskalace oprávnění, Únik obrany, Laterální pohyb
Škodlivý požadavek hlavního klíče rozhraní DATA Protection API	2020	Nejvyšší	Přístup k přihlašovacím údajům
Rekognoskace členství uživatelů a skupin (SAMR)	2021	střední	Zjišťování
Podezření na využití zlatého lístku (časová anomálie)	2022	Nejvyšší	Trvalost, eskalace oprávnění, laterální pohyb
Podezřelý útok hrubou silou (Kerberos, NTLM)	2023	střední	Přístup k přihlašovacím údajům
Podezřelé dodatky k citlivým skupinám	2024	střední	Trvalost, přístup k přihlašovacím údajům,
Podezřelé připojení VPN	2025	střední	Obrana před únikem, trvalost
Vytvoření podezřelé služby	2026	střední	Výkon, trvalost, eskalace oprávnění, únik obrany, laterální pohyb
Podezřelé využití zlatého lístku (neexistující účet)	2027	Nejvyšší	Trvalost, eskalace oprávnění, laterální pohyb
Podezřelý útok DCShadow (povýšení řadiče domény)	2028	Nejvyšší	Obrana před únikem
Podezřelý útok DCShadow (žádost o replikaci řadiče domény)	2029	Nejvyšší	Obrana před únikem
Exfiltrace dat přes protokol SMB	2030	Nejvyšší	Exfiltrace, laterální pohyb, příkaz a řízení
Podezřelá komunikace přes DNS	2031	střední	Exfiltrace
Podezřelé využití zlatého lístku (anomálie lístku)	2032	Nejvyšší	Trvalost, eskalace oprávnění, laterální pohyb
Podezřelý útok hrubou silou (SMB)	2033	střední	Laterální pohyb
Podezření na použití architektury hackingu Metasploit	2034	střední	Laterální pohyb
Podezřelý útok WannaCry ransomware	2035	střední	Laterální pohyb
Vzdálené spuštění kódu přes DNS	2036	střední	Laterální pohyb, eskalace oprávnění
Podezření na útok ntLM relay	2037	Střední nebo nízká při použití podepsaného protokolu NTLM v2	Laterální pohyb, eskalace oprávnění
Rekognoskace objektu zabezpečení (LDAP)	2038	střední	Přístup k přihlašovacím údajům
Podezření na manipulaci s ověřováním NTLM	2039	střední	Laterální pohyb, eskalace oprávnění
Podezřelé využití zlatého lístku (anomálie lístku s využitím RBCD)	2040	Nejvyšší	Uchování
Podezření na použití neautorně šitých certifikátů Kerberos	2047	Nejvyšší	Laterální pohyb
Podezřelý pokus o delegování Kerberos pomocí metody BronzeBit (CVE-2020-17049 zneužití)	2048	střední	Přístup k přihlašovacím údajům
Rekognoskace atributů služby Active Directory (LDAP)	2210	střední	Zjišťování
Podezřelá manipulace s pakety SMB (zneužití CVE-2020-0796)	2406	Nejvyšší	Laterální pohyb
Podezření na vystavení SPN protokolu Kerberos	2410	Nejvyšší	Přístup k přihlašovacím údajům
Podezření na pokus o zvýšení oprávnění Netlogonu (CVE-2020-1472 zneužití)	2411	Nejvyšší	Elevace oprávnění
Podezření na útok AS-REP Roasting	2412	Nejvyšší	Přístup k přihlašovacím údajům
Podezření na čtení klíče DKM služby AD FS	2413	Nejvyšší	Přístup k přihlašovacím údajům
Vzdálené spuštění kódu serveru Exchange Server (CVE-2021-26855)	2414	Nejvyšší	Laterální pohyb
Podezřelý pokus o zneužití ve službě zařazování tisku systému Windows	2415	Vysoká nebo střední	Laterální pohyb
Podezřelé síťové připojení přes protokol Encrypting File System Remote Protocol	2416	Vysoká nebo střední	Laterální pohyb
Podezření na podezřelou žádost o lístek Kerberos	2418	Nejvyšší	Přístup k přihlašovacím údajům
Podezřelá změna atributu sAMNameAccount (zneužití CVE-2021-42278 a CVE-2021-42287)	2419	Nejvyšší	Přístup k přihlašovacím údajům
Podezřelá změna vztahu důvěryhodnosti serveru SLUŽBY AD FS	2420	střední	Elevace oprávnění
Podezřelá změna atributu dNSHostName (CVE-2022-26923)	2421	Nejvyšší	Elevace oprávnění
Podezřelý pokus o delegování kerberos nově vytvořeným počítačem	2422	Nejvyšší	Elevace oprávnění
Podezřelá změna atributu omezeného delegování na základě prostředků účtem počítače	2423	Nejvyšší	Elevace oprávnění
Neobvyklé ověřování Active Directory Federation Services (AD FS) (AD FS) pomocí podezřelého certifikátu	2424	Nejvyšší	Přístup k přihlašovacím údajům
Podezřelé využití certifikátů přes protokol Kerberos (PKINIT)	2425	Nejvyšší	Laterální pohyb
Podezření na útok DFSCoerce pomocí protokolu distribuovaného systému souborů	2426	Nejvyšší	Přístup k přihlašovacím údajům
Změněné atributy uživatele Honeytokenu	2427	Nejvyšší	Uchování
Změnilo se členství ve skupině Honeytoken	2428	Nejvyšší	Uchování
Honeytoken byl dotazován přes LDAP.	2429	Nejnižší	Zjišťování
Podezřelá změna domény Správa SdHolder	2430	Nejvyšší	Uchování
Podezřelé převzetí účtu pomocí stínových přihlašovacích údajů	2431	Nejvyšší	Přístup k přihlašovacím údajům
Podezřelá žádost o certifikát řadiče domény (ESC8)	2432	Nejvyšší	Eskalace oprávnění
Podezřelé odstranění položek databáze certifikátů	2433	střední	Obrana před únikem
Podezřelé zakázání filtrů auditu služby AD CS	2434	střední	Obrana před únikem
Podezřelé změny oprávnění a nastavení zabezpečení služby AD CS	2435	střední	Eskalace oprávnění
Rekognoskace účtů (LDAP) (Preview)	2437	střední	Zjišťování účtů, účet domény
Změna hesla v režimu obnovení adresářových služeb (Preview)	2438	střední	Trvalost, manipulace s účtem
Honeytoken se dotazoval přes SAM-R.	2439	Nejnižší	Zjišťování

Poznámka:

Pokud chcete zakázat všechna výstraha zabezpečení, obraťte se na podporu.

Viz také

• Práce s výstrahami zabezpečení
• Principy výstrah zabezpečení
• Podívejte se na fórum Defender for Identity!