Teilen über

Sicherheitswarnungen in Microsoft Defender for Identity

Was sind Microsoft Defender for Identity Sicherheitswarnungen?

Microsoft Defender for Identity Sicherheitswarnungen bieten Informationen zu den verdächtigen Aktivitäten, die von Defender for Identity-Sensoren in Ihrem Netzwerk erkannt werden, sowie zu den Akteuren und Computern, die an den einzelnen Bedrohungen beteiligt sind. Beweislisten für Warnungen enthalten direkte Links zu den beteiligten Benutzern und Computern, um Ihre Untersuchungen einfacher und direkter zu gestalten.

Hinweis

Defender for Identity ist nicht als Überwachungs- oder Protokollierungslösung konzipiert, die jeden einzelnen Vorgang oder jede Aktivität auf den Servern erfasst, auf denen der Sensor installiert ist. Es erfasst nur die Daten, die für die Erkennungs- und Empfehlungsmechanismen erforderlich sind.

Die Seite Identitätswarnungen bietet Ihnen domänenübergreifende Signalanreicherung und automatisierte Identitätsantwortfunktionen. Der Vorteil der Untersuchung von Warnungen mit Microsoft Defender XDR besteht darin, dass Microsoft Defender for Identity Warnungen mit Informationen korreliert sind, die von den anderen Produkten in der Suite abgerufen wurden. Diese erweiterten Warnungen sind konsistent mit den anderen Microsoft Defender XDR Warnungsformaten, die von Microsoft Defender for Office 365 und Microsoft Defender for Endpoint stammen.

Warnungen, die vom Defender for Identity-Trigger stammen, Microsoft Defender XDR funktionen für automatisierte Untersuchung und Reaktion (Automated Investigation and Response, AIR), einschließlich der automatischen Behebung von Warnungen und der Entschärfung von Tools und Prozessen, die zur verdächtigen Aktivität beitragen können.

Microsoft Defender for Identity Warnungen werden derzeit in zwei verschiedenen Layouts im Microsoft Defender XDR-Portal angezeigt. Während die Warnungsansichten möglicherweise unterschiedliche Informationen anzeigen, basieren alle Warnungen auf Erkennungen von Defender for Identity-Sensoren. Die unterschiede zwischen Layout und Informationen sind Teil eines kontinuierlichen Übergangs zu einer einheitlichen Warnungserfahrung für Microsoft Defender Produkte.

Weitere Informationen finden Sie unter Anzeigen und Verwalten von Sicherheitswarnungen.

Warnungskategorien

Defender for Identity-Sicherheitswarnungen sind in die folgenden Kategorien oder Phasen unterteilt, wie die Phasen in einer typischen Kill Chain für Cyberangriffe. Unter den folgenden Links erfahren Sie mehr über die einzelnen Phasen, die Warnungen, die für die Erkennung der einzelnen Angriffe konzipiert sind, und wie Sie die Warnungen zum Schutz Ihres Netzwerks verwenden können:

  1. Reconnaissance- und Ermittlungswarnungen
  2. Persistenz- und Berechtigungsausweitungswarnungen
  3. Zugriffswarnungen für Anmeldeinformationen
  4. Lateral Movement-Warnungen
  5. Andere Warnungen

Zuordnen von Sicherheitswarnungen zu eindeutigen externen ID- und MITRE ATT-&CK-Matrixtaktiken

In der folgenden Tabelle sind die Zuordnung zwischen Warnungsnamen, den entsprechenden eindeutigen externen IDs, ihrem Schweregrad und ihrer MITRE ATT&CK Matrix-Taktik™ aufgeführt. Bei Verwendung mit Skripts oder Automatisierung empfiehlt Microsoft die Verwendung externer Warnungs-IDs anstelle von Warnungsnamen, da nur externe Sicherheitswarnungs-IDs dauerhaft sind und nicht geändert werden können.

Name der Sicherheitswarnung Eindeutige externe ID Severity MITRE ATT&CK-Matrix™
Verdacht auf SID-History Injektion 1106 Hoch Rechteausweitung
Vermuteter Overpass-the-Hash-Angriff (Kerberos) 2002 Mittel Laterale Bewegung
Kontoenumeration reconnaissance 2003 Mittel Suche
Verdacht auf Brute-Force-Angriff (LDAP) 2004 Mittel Zugriff auf Anmeldeinformationen
Vermuteter DCSync-Angriff (Replikation von Verzeichnisdiensten) 2006 Hoch Zugriff auf Anmeldeinformationen, Persistenz
Netzwerkzuordnungs-Reconnaissance (DNS) 2007 Mittel Suche
Vermuteter Over-Pass-the-Hash-Angriff (erzwungener Verschlüsselungstyp) 2008 Mittel Laterale Bewegung
Vermutete Verwendung von Golden Ticket (Verschlüsselungsdowngrade) 2009 Mittel Persistenz, Rechteausweitung, Lateral Movement
Vermuteter Skeleton Key-Angriff (Verschlüsselungsdowngrade) 2010 Mittel Persistenz, Lateral Movement
Reconnaissance für Benutzer und IP-Adressen (SMB) 2012 Mittel Suche
Verdacht auf Verwendung von Golden Ticket (gefälschte Autorisierungsdaten) 2013 Hoch Zugriff auf Anmeldeinformationen
Honeytoken-Authentifizierungsaktivität 2014 Mittel Zugriff auf Anmeldeinformationen, Ermittlung
Verdacht auf Identitätsdiebstahl (Pass-the-Hash) 2017 Hoch Laterale Bewegung
Mutmaßlicher Identitätsdiebstahl (Pass-the-Ticket) 2018 Hoch oder Mittel Laterale Bewegung
Remotecodeausführungsversuch 2019 Mittel Ausführung, Persistenz, Rechteausweitung, Umgehung der Verteidigung, Lateral Movement
Böswillige Anforderung des master Schlüssels der Datenschutz-API 2020 Hoch Zugriff auf Anmeldeinformationen
Reconnaissance für Benutzer- und Gruppenmitgliedschaften (SAMR) 2021 Mittel Suche
Vermutete Verwendung von Golden Ticket (Zeitanomalie) 2022 Hoch Persistenz, Rechteausweitung, Lateral Movement
Verdacht auf Brute-Force-Angriff (Kerberos, NTLM) 2023 Mittel Zugriff auf Anmeldeinformationen
Verdächtige Ergänzungen zu sensiblen Gruppen 2024 Mittel Persistenz, Zugriff auf Anmeldeinformationen,
Verdächtige VPN-Verbindung 2025 Mittel Umgehung der Verteidigung, Persistenz
Erstellen eines verdächtigen Diensts 2026 Mittel Ausführung, Persistenz, Rechteausweitung, Umgehung der Verteidigung, Lateral Movement
Vermutete Golden Ticket-Nutzung (nicht vorhandenes Konto) 2027 Hoch Persistenz, Rechteausweitung, Lateral Movement
Vermuteter DCShadow-Angriff (Domänencontroller-Heraufstufung) 2028 Hoch Umgehung von Verteidigungsmaßnahmen
Vermuteter DCShadow-Angriff (Domänencontrollerreplikationsanforderung) 2029 Hoch Umgehung von Verteidigungsmaßnahmen
Datenexfiltration über SMB 2030 Hoch Exfiltration, Lateral Movement, Befehl und Steuerung
Verdächtige Kommunikation über DNS 2031 Mittel Exfiltration
Vermutete Golden Ticket-Nutzung (Ticketanomalie) 2032 Hoch Persistenz, Rechteausweitung, Lateral Movement
Verdacht auf Brute-Force-Angriff (SMB) 2033 Mittel Laterale Bewegung
Verdacht auf Verwendung des Metasploit-Hacking-Frameworks 2034 Mittel Laterale Bewegung
Verdacht auf WannaCry-Ransomware-Angriff 2035 Mittel Laterale Bewegung
Remotecodeausführung über DNS 2036 Mittel Lateral Movement, Rechteausweitung
Vermuteter NTLM-Relayangriff 2037 Mittel oder Niedrig bei Verwendung des signierten NTLM v2-Protokolls Lateral Movement, Rechteausweitung
Reconnaissance für Sicherheitsprinzipale (LDAP) 2038 Hoch (falls Probleme bei der Lösung auftreten oder Bestimmtes Tool erkannt wurde) und Mittel Zugriff auf Anmeldeinformationen
Verdacht auf Manipulation der NTLM-Authentifizierung 2039 Mittel Lateral Movement, Rechteausweitung
Vermutete Golden Ticket-Nutzung (Ticketanomalie mit RBCD) 2040 Hoch Persistenz
Vermutete Verwendung eines nicht autorisierten Kerberos-Zertifikats 2047 Hoch Laterale Bewegung
Verdächtiger Kerberos-Delegierungsversuch mithilfe der BronzeBit-Methode (CVE-2020-17049-Ausnutzung) 2048 Mittel Zugriff auf Anmeldeinformationen
Reconnaissance für Active Directory-Attribute (LDAP) 2210 Mittel Suche
Verdacht auf SMB-Paketmanipulation (CVE-2020-0796-Ausnutzung) 2406 Hoch Laterale Bewegung
Vermutete Kerberos-SPN-Offenlegung 2410 Hoch Zugriff auf Anmeldeinformationen
Mutmaßlicher Versuch zur Erhöhung von Netlogon-Berechtigungen (CVE-2020-1472-Ausnutzung) 2411 Hoch Rechteausweitung
Verdacht auf AS-REP-Röstangriff 2412 Hoch Zugriff auf Anmeldeinformationen
Vermuteter AD FS DKM-Schlüssellesevorgang 2413 Hoch Zugriff auf Anmeldeinformationen
Exchange Server Remotecodeausführung (CVE-2021-26855) 2414 Hoch Laterale Bewegung
Mutmaßlicher Ausnutzungsversuch im Windows-Druckspoolerdienst 2415 Hoch oder Mittel Laterale Bewegung
Verdächtige Netzwerkverbindung über verschlüsselndes Dateisystem-Remoteprotokoll 2416 Hoch oder Mittel Laterale Bewegung
Verdacht auf verdächtige Kerberos-Ticketanforderung 2418 Hoch Zugriff auf Anmeldeinformationen
Verdächtige Änderung eines sAMNameAccount-Attributs (Ausnutzung von CVE-2021-42278 und CVE-2021-42287) 2419 Hoch Zugriff auf Anmeldeinformationen
Verdächtige Änderung der Vertrauensstellung des AD FS-Servers 2420 Mittel Rechteausweitung
Verdächtige Änderung eines dNSHostName-Attributs (CVE-2022-26923) 2421 Hoch Rechteausweitung
Verdächtiger Kerberos-Delegierungsversuch durch einen neu erstellten Computer 2422 Hoch Rechteausweitung
Verdächtige Änderung des Attributs "Ressourcenbasierte eingeschränkte Delegierung" durch ein Computerkonto 2423 Hoch Rechteausweitung
Authentifizierung mit ungewöhnlichem Active Directory-Verbunddienste (AD FS) (AD FS) mithilfe eines verdächtigen Zertifikats 2424 Hoch Zugriff auf Anmeldeinformationen
Verdächtige Zertifikatverwendung über das Kerberos-Protokoll (PKINIT) 2425 Hoch Laterale Bewegung
Verdacht auf DFSCoerce-Angriff mit dem Distributed File System Protocol 2426 Hoch Zugriff auf Anmeldeinformationen
Honeytoken-Benutzerattribute geändert 2427 Hoch Persistenz
Honeytoken-Gruppenmitgliedschaft geändert 2428 Hoch Persistenz
Honeytoken wurde über LDAP abgefragt. 2429 Niedrig Suche
Verdächtige Änderung der Domäne AdminSdHolder 2430 Hoch Persistenz
Mutmaßliche Kontoübernahme mit Schattenanmeldeinformationen 2431 Hoch Zugriff auf Anmeldeinformationen
Verdächtige Zertifikatanforderung für Domänencontroller (ESC8) 2432 Hoch Rechteausweitung
Verdächtiges Löschen der Zertifikatdatenbankeinträge 2433 Mittel Umgehung von Verteidigungsmaßnahmen
Verdächtiges Deaktivieren von Überwachungsfiltern von AD CS 2434 Mittel Umgehung von Verteidigungsmaßnahmen
Verdächtige Änderungen an den AD CS-Sicherheitsberechtigungen/-einstellungen 2435 Mittel Rechteausweitung
Account Enumeration Reconnaissance (LDAP) (Vorschau) 2437 Mittel Kontoermittlung, Domänenkonto
Kennwortänderung im Wiederherstellungsmodus für Verzeichnisdienste 2438 Mittel Persistenz, Kontobearbeitung
Gruppenrichtlinie Manipulation 2440 Mittel Umgehung von Verteidigungsmaßnahmen

Hinweis

Wenden Sie sich an den Support, um Sicherheitswarnungen zu deaktivieren.

Siehe auch