Alertas de seguridad en Microsoft Defender for Identity

Nota

Se puede acceder a la experiencia descrita en esta página en https://security.microsoft.com como parte de Microsoft 365 Defender.

Microsoft Defender for Identity alertas de seguridad explican las actividades sospechosas detectadas por los sensores de Defender for Identity en la red y los actores y equipos implicados en cada amenaza. Las listas de evidencias de alerta contienen vínculos directos a los equipos y los usuarios implicados, para que las investigaciones resulten fáciles y directas.

Las alertas de seguridad de Defender for Identity se dividen en las siguientes categorías o fases, como las fases que se ven en una cadena típica de eliminación de ataques cibernéticos. Siga estos vínculos si quiere obtener más información sobre cada fase, las alertas diseñadas para detectar cada ataque y el uso de las alertas para ayudar a proteger su red:

1. Alertas de reconocimiento y detección
2. Alertas de extensión de privilegios y persistencia
3. Alertas de acceso a credenciales
4. Alertas de desplazamiento lateral
5. Otras alertas

Para más información sobre la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de las alertas de seguridad.

Asignación de nombre de alerta de seguridad e identificadores externos únicos

En la tabla siguiente se muestra la asignación entre los nombres de alerta, sus identificadores externos únicos correspondientes, su gravedad y su táctica de matriz MITRE ATT&CK.™ Microsoft recomienda el uso de identificadores externos únicos de alerta en lugar de nombres de alerta cuando se usen scripts o automatización, ya que únicamente los identificadores externos de alerta de seguridad son permanentes y no están sujetos a cambios.

Identificadores externos

Nombre de alerta de seguridad	Id. externo único	Gravedad	Matriz™ DE MITRE ATT&CK
Sospecha de ataque Overpass-the-Hash (Kerberos)	2002	Mediana	Desplazamiento lateral
Reconocimiento de enumeración de cuentas	2003	Mediana	Detección
Sospecha de ataque por fuerza bruta (LDAP)	2004	Mediana	Acceso de credencial
Sospecha de ataque DCSync (replicación de servicios de directorio)	2006	Alto	Acceso a credenciales, persistencia
Reconocimiento de asignación de redes (DNS)	2007	Mediana	Detección
Sospecha de uso de golden ticket (degradación de cifrado)	2009	Mediana	Persistencia, elevación de privilegios, movimiento lateral
Sospecha de ataque de llave maestra (degradación de cifrado)	2010	Mediana	Persistencia, movimiento lateral
Reconocimiento de usuario y dirección IP (SMB)	2012	Mediana	Detección
Sospecha de uso de golden ticket (datos de autorización falsificados)	2013	Alto	Acceso de credencial
Actividad de honeytoken	2014	Mediana	Acceso a credenciales, detección
Sospecha de robo de identidad (Pass-the-Hash)	2017	Alto	Movimiento lateral
Sospecha de robo de identidad (Pass-the-Hash)	2018	Alto o medio	Desplazamiento lateral
Intento de ejecución remota de código	2019	Mediana	Ejecución, persistencia, elevación de privilegios, evasión de defensa, movimiento lateral
Solicitud malintencionada de clave maestra de la API de protección de datos	2020	Alto	Acceso de credencial
Reconocimiento de pertenencia a usuarios y grupos (SAMR)	2021	Mediana	Detección
Sospecha de uso de golden ticket (anomalía temporal)	2022	Alto	Persistencia, elevación de privilegios, movimiento lateral
Sospecha de ataque por fuerza bruta (Kerberos, NTLM)	2023	Mediana	Acceso de credencial
Adiciones anómalas a grupos confidenciales	2024	Mediana	Persistencia, acceso a credenciales,
Conexión de VPN sospechosa	2025	Mediana	Evasión de defensa, persistencia
Creación de servicios sospechosos	2026	Mediana	Ejecución, persistencia, elevación de privilegios, evasión de defensa, movimiento lateral
Sospecha de uso de golden ticket (cuenta inexistente)	2027	Alto	Persistencia, elevación de privilegios, movimiento lateral
Sospecha de ataque DCShadow (promoción de controlador de dominio)	2028	Alto	Evasión de la defensa
Sospecha de ataque DCShadow (solicitud de replicación de controlador de dominio)	2029	Alto	Evasión de la defensa
Filtración de datos a través de SMB	2030	Alto	Filtración, movimiento lateral, comando y control
Comunicación sospechosa a través de DNS	2031	Mediana	Filtración
Sospecha de uso de golden ticket (anomalía del vale)	2032	Alto	Persistencia, elevación de privilegios, movimiento lateral
Sospecha de ataque por fuerza bruta (SMB)	2033	Mediana	Movimiento lateral
Sospecha de uso del marco de pirateo Metasploit	2034	Mediana	Movimiento lateral
Presunto ataque de ransomware WannaCry	2035	Mediana	Desplazamiento lateral
Ejecución remota de código sobre DNS	2036	Mediana	Desplazamiento lateral, elevación de privilegios
Sospecha de ataque de retransmisión de NTLM	2037	Medio o bajo si se observa mediante el protocolo NTLM v2 firmado	Desplazamiento lateral, elevación de privilegios
Reconocimiento de entidad de seguridad (LDAP)	2038	Mediana	Acceso de credencial
Sospecha de alteración de la autenticación NTLM	2039	Mediana	Desplazamiento lateral, elevación de privilegios
Sospecha de uso de golden ticket (anomalía del vale mediante RBCD)	2040	Alto	Persistencia
Uso de un certificado Kerberos sospechoso de no estar autorizado	2047	Alto	Movimiento lateral
Reconocimiento de los atributos de Active Directory (LDAP)	2210	Mediana	Detección
Sospecha de manipulación de paquetes SMB (vulnerabilidad CVE-2020-0796): (versión preliminar)	2406	Alto	Desplazamiento lateral
Exposición de SPN de Kerberos sospechosa (identificador externo 2410)	2410	Alto	Acceso de credencial
Sospecha de intento de elevación de privilegios de Netlogon (abuso CVE-2020-1472)	2411	Alto	Elevación de privilegios
Sospecha de ataque AS-REP Roasting	2412	Alto	Acceso de credencial
Ejecución remota de código de Exchange Server (CVE-2021-26855)	2414	Alto	Movimiento lateral
Sospecha de intento de aprovechamiento de vulnerabilidad de seguridad en el servicio Windows Print Spooler	2415	Alto o medio	Desplazamiento lateral
Conexión de red sospechosa a través del protocolo remoto del sistema de archivos de cifrado	2416	Alto o medio	Desplazamiento lateral
Modificación sospechosa de un atributo sAMNameAccount (CVE-2021-42278 y CVE-2021-42287)	2419	Alto	Acceso de credencial

Nota:

Para deshabilitar una alerta de seguridad, póngase en contacto con el soporte técnico.

Consulte también

• Trabajo con alertas de seguridad
• Descripción de alertas de seguridad
• Consulte el foro de Defender for Identity