Leitfaden für Microsoft Defender for Identity-Sicherheitswarnungen

Hinweis

Die in dieser Seite beschriebene Erfahrung kann im Rahmen von Microsoft 365 Defender auf sie zugegriffen https://security.microsoft.com werden.

Microsoft Defender for Identity Sicherheitswarnungen erläutern die verdächtigen Aktivitäten, die von Defender for Identity-Sensoren auf Ihrem Netzwerk erkannt wurden, und die Akteure und Computer, die an jeder Bedrohung beteiligt sind. Damit Sie einfach und direkt weitere Untersuchungen durchführen können, enthalten Beweislisten für Sicherheitswarnungen direkte Links zu den betroffenen Benutzern und Computern.

Defender for Identity-Sicherheitswarnungen werden in die folgenden Kategorien oder Phasen unterteilt, wie die Phasen, die in einer typischen Cyberangriffs-Kill-Kette angezeigt werden. Öffnen Sie die folgenden Links, um mehr über die einzelnen Phasen, die Warnungen zur Erkennung der verschiedenen Angriffe sowie über die Verwendung der Warnungen zum Schutz Ihres Netzwerks zu erfahren:

  1. Warnung zu Reconnaissancephase
  2. Warnungen zu Phase der kompromittierten Anmeldeinformationen
  3. Lateral movement phase alerts (Warnung zur Lateral Movement-Phase)
  4. Warnungen zu Domänendominanzphase
  5. Warnungen zu Exfiltrationsphase

Weitere Informationen zur Struktur und allgemeinen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen.

Zuordnen von Sicherheitswarnungsnamen und eindeutigen externen IDs

In der folgenden Tabelle sind die Zuordnung zwischen Warnungsnamen, ihren entsprechenden eindeutigen externen IDs, deren Schweregrad und derEN MITRE ATT&CK Matrix-Taktik™ aufgeführt. Für Skripts oder die Automatisierung empfiehlt Microsoft die Verwendung von externen IDs zur Warnung anstelle von Warnungsnamen, da nur externe IDs dauerhaft für Sicherheitswarnungen verwendet und nicht geändert werden.

Externe IDs

Sicherheitswarnungsname Eindeutige externe ID Schweregrad MITRE ATT&CK Matrix™
Suspected overpass-the-hash attack (Kerberos) (Verdacht auf einen Overpass-the-Hash-Angriff (Kerberos)) 2002 Mittel Seitwärtsbewegung
Reconnaissance mithilfe von Kontoenumeration 2003 Mittel Ermittlung
Vermuteter Brute-Force-Angriff (LDAP) 2004 Mittel Zugriff über Anmeldeinformationen
Suspected DCSync attack (replication of directory services) (Verdacht auf einen DCSync-Angriff (Replikation von Verzeichnisdiensten)) 2006 Hoch Persistenz, Anmeldeinformationenzugriff
Network mapping reconnaissance (DNS) (Reconnaissance über Netzwerkzuordnung (DNS)) 2007 Mittel Ermittlung
Verdacht auf Verwendung eines Golden Ticket (Herabstufung der Verschlüsselung) 2009 Mittel Berechtigungskalation, Lateralbewegung, Persistenz
Vermuteter Skeleton Key-Angriff (Herabstufung der Verschlüsselung) 2010 Mittel Laterale Bewegung, Persistenz
Reconnaissance über Benutzer und IP-Adressen (SMB) 2012 Mittel Ermittlung
Suspected Golden Ticket usage (forged authorization data) (Verdacht auf Verwendung eines Golden Ticket (gefälschte Autorisierungsdaten)) 2013 Hoch Berechtigungskalation, Lateralbewegung, Persistenz
Honeytoken-Aktivität 2014 Mittel Anmeldeinformationenzugriff, Ermittlung
Suspected identity theft (Pass-the-Hash) (Verdacht auf Identitätsdiebstahl (Pass-the-Hash)) 2017 Hoch Seitliche Verschiebung
Suspected identity theft (Pass-the-Ticket) (Verdacht auf Identitätsdiebstahl (Pass-the-Ticket)) 2018 Hoch oder Mittel Seitwärtsbewegung
Versuchte Remotecodeausführung 2019 Mittel Ausführung, Persistenz, Berechtigungskalation, Verteidigungshinterziehung, Lateralbewegung
Malicious request of Data Protection API master key (Böswillige Anforderung eines Masterschlüssels zur Datenschutz-API) 2020 Hoch Zugriff über Anmeldeinformationen
Benutzer- und Gruppenmitgliedschaftsaufklärung (SAMR) 2021 Mittel Ermittlung
Suspected golden ticket usage (time anomaly) (Verdacht auf Verwendung eines Golden Ticket (Zeitanomalie)) 2022 Hoch Berechtigungskalation, Lateralbewegung, Persistenz
Vermuteter Brute-Force-Angriff (Kerberos, NTLM) 2023 Mittel Zugriff über Anmeldeinformationen
Verdächtige Ergänzungen zu sensiblen Gruppen 2024 Mittel Anmeldeinformationenzugriff, Persistenz
Verdächtige VPN-Verbindung 2025 Mittel Persistenz, Verteidigungshinterziehung
Erstellung von verdächtigen Diensten 2026 Mittel Ausführung, Persistenz, Berechtigungskalation, Verteidigungshinterziehung, Lateralbewegung
Suspected Golden Ticket usage (nonexistent account) (Verdacht auf Verwendung eines Golden Ticket (nicht vorhandenes Konto)) 2027 Hoch Berechtigungskalation, Lateralbewegung, Persistenz
Suspected DCShadow attack (domain controller promotion) (Verdacht auf DCShadow-Angriff (Heraufstufung von Domänencontrollern)) 2028 Hoch Umgehung der Verteidigung
Verdacht auf DCShadow-Angriff (Replikationsanforderung an Domänencontroller) 2029 Hoch Umgehung der Verteidigung
Datenexfiltration über den SMB 2030 Hoch Exfiltration, Lateralbewegung, Befehl und Kontrolle
Verdächtige Kommunikation über DNS 2031 Mittel Exfiltration
Vermutete Golden Ticket-Verwendung (Ticketanomalie) 2032 Hoch Berechtigungskalation, Lateralbewegung, Persistenz
Vermuteter Brute-Force-Angriff (SMB) 2033 Mittel Seitliche Verschiebung
Suspected use of Metasploit hacking framework (Verdacht auf Verwendung eines Hackerframeworks) 2034 Mittel Seitwärtsbewegung
Suspected WannaCry ransomware attack (Verdacht auf einen WannaCry-Ransomangriff) 2035 Mittel Seitwärtsbewegung
Remotecodeausführung über DNS 2036 Mittel Berechtigungskalation, Lateralbewegung
Vermuteter NTLM-Relaisangriff 2037 Mittel oder Niedrig, wenn mithilfe von signiertem NTLMv2-Protokoll beobachtet Berechtigungskalation, Lateralbewegung
Sicherheitsprinzipalreconnaissance (LDAP) 2038 Mittel Zugriff über Anmeldeinformationen
Suspected NTLM authentication tampering (Vermutete Manipulation der NTLM-Authentifizierung) 2039 Mittel Berechtigungskalation, Lateralbewegung
Vermutete Golden Ticket-Verwendung (Ticketanomalie mithilfe von RBCD) 2040 Hoch Persistenz
Mutmaßliche Verwendung von Rogue-Kerberos-Zertifikat 2047 Hoch Seitliche Verschiebung
Active Directory-Attributreconnaissance (LDAP) 2210 Mittel Ermittlung
Mutmaßliche Manipulation von SMB-Paketen (Exploit von CVE-2020-0796) (Vorschau) 2406 Hoch Seitwärtsbewegung
Mutmaßliche Kerberos-SPN-Offenlegung (externe ID: 2410) 2410 Hoch Zugriff über Anmeldeinformationen
Verdächtigter Netlogon-Rechteerweiterungsversuch (CVE-2020-1472-Ausnutzung) 2411 Hoch Berechtigungsausweitung
Vermuteter AS-REP Roasting-Angriff 2412 Hoch Zugriff über Anmeldeinformationen
Exchange Server-Remotecodeausführung (CVE-2021-26855) 2414 Hoch Seitliche Verschiebung
Vermuteter Missbrauchsversuch des Windows-Druckspoolerdiensts 2.415 Hoch oder Mittel Seitwärtsbewegung
Verdächtige Netzwerkverbindung über EFS-RPC (Remoteprotokoll des verschlüsselnden Dateisystems) 2416 Hoch oder Mittel Seitwärtsbewegung
Verdächtige Änderung eines sAMNameAccount-Attributs (CVE-2021-42278 und CVE-2021-42287 Ausbeutung) 2419 Hoch Zugriff über Anmeldeinformationen

Hinweis

Wenn Sie eine Sicherheitswarnung deaktivieren möchten, wenden Sie sich an den Support.

Weitere Informationen