Alertas de seguridad en Microsoft Defender for Identity

¿Qué son las alertas de seguridad Microsoft Defender for Identity?

Microsoft Defender for Identity alertas de seguridad proporcionan información sobre las actividades sospechosas detectadas por los sensores de Defender for Identity en la red y los actores y equipos implicados en cada amenaza. Las listas de pruebas de alerta contienen enlaces directos a los usuarios y ordenadores involucrados, para ayudar a que sus investigaciones sean fáciles y directas.

Nota:

Defender for Identity no está diseñado para servir como una solución de auditoría o registro que captura cada operación o actividad única en los servidores donde está instalado el sensor. Solo captura los datos necesarios para sus mecanismos de detección y recomendación.

La página Alertas de identidad proporciona funcionalidades de enriquecimiento de señales entre dominios y respuesta de identidad automatizada. La ventaja de investigar alertas con Microsoft Defender XDR es que Microsoft Defender for Identity alertas se correlacionan con la información obtenida de cada uno de los demás productos del conjunto. Estas alertas mejoradas son coherentes con los demás formatos de alerta de Microsoft Defender XDR que se origina en Microsoft Defender para Office 365 y Microsoft Defender para punto de conexión.

Las alertas que se originan en el desencadenador de Defender for Identity Microsoft Defender XDR funcionalidades automatizadas de investigación y respuesta (AIR), incluida la corrección automática de alertas y la mitigación de herramientas y procesos que pueden contribuir a la actividad sospechosa.

Microsoft Defender for Identity alertas aparecen actualmente en dos diseños diferentes en el portal de Microsoft Defender XDR. Aunque las vistas de alerta pueden mostrar información diferente, todas las alertas se basan en detecciones de sensores de Defender for Identity. Las diferencias en el diseño y la información que se muestran forman parte de una transición continua a una experiencia unificada de alertas entre Microsoft Defender productos.

Para obtener más información, consulte Visualización y administración de alertas de seguridad.

Categorías de alertas

Las alertas de seguridad de Defender for Identity se dividen en las siguientes categorías o fases, como las fases que se ven en una típica cadena de eliminación de ataques cibernéticos. Obtenga más información sobre cada fase, las alertas diseñadas para detectar cada ataque y cómo usar las alertas para ayudar a proteger la red mediante los vínculos siguientes:

1. Alertas de reconocimiento y detección
2. Alertas de persistencia y escalado de privilegios
3. Alertas de acceso a credenciales
4. Alertas de movimiento lateral
5. Otras alertas

Asignar alertas de seguridad a un id. externo único y tácticas de MITRE ATT&CK Matrix

En la tabla siguiente se muestra la asignación entre los nombres de alerta, sus identificadores externos únicos correspondientes, su gravedad y su táctica MITRE ATT&matriz™ de CK. Cuando se usa con scripts o automatización, Microsoft recomienda el uso de identificadores externos de alerta en lugar de nombres de alerta, ya que solo los identificadores externos de alerta de seguridad son permanentes y no están sujetos a cambios.

Nombre de alerta de seguridad	Identificador externo único	Severity	Matriz™ de MITRE ATT&CK
Sospecha de inyección de SID-History	1106	Alto	Elevación de privilegios
Sospecha de ataque overpass-the-hash (Kerberos)	2002	Mediano	Movimiento lateral
Reconocimiento de enumeración de cuentas	2003	Mediano	Descubrimiento
Sospecha de ataque por fuerza bruta (LDAP)	2004	Mediano	Acceso a credenciales
Sospecha de ataque DCSync (replicación de servicios de directorio)	2006	Alto	Acceso a credenciales, persistencia
Reconocimiento de asignación de red (DNS)	2007	Mediano	Descubrimiento
Sospecha de ataque de sobre-paso del hash (tipo de cifrado forzado)	2008	Mediano	Movimiento lateral
Sospecha de uso de Golden Ticket (degradación del cifrado)	2009	Mediano	Persistencia, escalación de privilegios, movimiento lateral
Sospecha de ataque de clave de esqueleto (degradación del cifrado)	2010	Mediano	Persistencia, movimiento lateral
Reconocimiento de direcciones IP y de usuario (SMB)	2012	Mediano	Descubrimiento
Sospecha de uso de Golden Ticket (datos de autorización falsificados)	2013	Alto	Acceso a credenciales
Actividad de autenticación honeytoken	2014	Mediano	Acceso a credenciales, detección
Sospecha de robo de identidad (pass-the-hash)	2017	Alto	Movimiento lateral
Sospecha de robo de identidad (pass-the-ticket)	2018	Alto o medio	Movimiento lateral
Intento de ejecución remota de código	2019	Mediano	Ejecución, Persistencia, Escalación de privilegios, Evasión de defensa, Movimiento lateral
Solicitud malintencionada de clave maestra de Data Protection API	2020	Alto	Acceso a credenciales
Reconocimiento de pertenencia a usuarios y grupos (SAMR)	2021	Mediano	Descubrimiento
Sospecha de uso de Golden Ticket (anomalía de tiempo)	2022	Alto	Persistencia, escalación de privilegios, movimiento lateral
Sospecha de ataque por fuerza bruta (Kerberos, NTLM)	2023	Mediano	Acceso a credenciales
Adiciones sospechosas a grupos confidenciales	2024	Mediano	Persistencia, acceso a credenciales,
Conexión VPN sospechosa	2025	Mediano	Evasión de defensa, persistencia
Creación de servicios sospechosos	2026	Mediano	Ejecución, persistencia, escalación de privilegios, evasión de defensa, movimiento lateral
Sospecha de uso de Golden Ticket (cuenta inexistente)	2027	Alto	Persistencia, escalación de privilegios, movimiento lateral
Sospecha de ataque DCShadow (promoción del controlador de dominio)	2028	Alto	Evasión de defensa
Sospecha de ataque DCShadow (solicitud de replicación del controlador de dominio)	2029	Alto	Evasión de defensa
Filtración de datos a través de SMB	2030	Alto	Filtración, movimiento lateral, comando y control
Comunicación sospechosa a través de DNS	2031	Mediano	Filtración
Sospecha de uso de Golden Ticket (anomalía de vales)	2032	Alto	Persistencia, escalación de privilegios, movimiento lateral
Sospecha de ataque por fuerza bruta (SMB)	2033	Mediano	Movimiento lateral
Sospecha de uso del marco de piratería metasploit	2034	Mediano	Movimiento lateral
Sospecha de ataque de ransomware WannaCry	2035	Mediano	Movimiento lateral
Ejecución remota de código a través de DNS	2036	Mediano	Movimiento lateral, Escalación de privilegios
Sospecha de ataque de retransmisión NTLM	2037	Medio o Bajo si se observa mediante el protocolo NTLM v2 firmado	Movimiento lateral, Escalación de privilegios
Reconocimiento de entidad de seguridad (LDAP)	2038	Alta (en problemas de resolución de casos o herramienta específica detectada) y media	Acceso a credenciales
Sospecha de manipulación de la autenticación NTLM	2039	Mediano	Movimiento lateral, Escalación de privilegios
Sospecha de uso de Golden Ticket (anomalía de vales mediante RBCD)	2040	Alto	Persistencia
Sospecha de uso de certificados Kerberos no autorizados	2047	Alto	Movimiento lateral
Intento sospechoso de delegación kerberos mediante el método BronzeBit (explotación CVE-2020-17049)	2048	Mediano	Acceso a credenciales
Reconocimiento de atributos de Active Directory (LDAP)	2210	Mediano	Descubrimiento
Sospecha de manipulación de paquetes SMB (explotación CVE-2020-0796)	2406	Alto	Movimiento lateral
Sospecha de exposición de SPN de Kerberos	2410	Alto	Acceso a credenciales
Sospecha de intento de elevación de privilegios de Netlogon (explotación CVE-2020-1472)	2411	Alto	Elevación de privilegios
Sospecha de ataque de asador AS-REP	2412	Alto	Acceso a credenciales
Sospecha de lectura de clave DKM de AD FS	2413	Alto	Acceso a credenciales
Exchange Server ejecución remota de código (CVE-2021-26855)	2414	Alto	Movimiento lateral
Sospecha de intento de explotación en el servicio de cola de impresión de Windows	2415	Alto o medio	Movimiento lateral
Conexión de red sospechosa a través del protocolo remoto del sistema de archivos de cifrado	2416	Alto o medio	Movimiento lateral
Sospecha de solicitud sospechosa de vale de Kerberos	2418	Alto	Acceso a credenciales
Modificación sospechosa de un atributo sAMNameAccount (explotación CVE-2021-42278 y CVE-2021-42287)	2419	Alto	Acceso a credenciales
Modificación sospechosa de la relación de confianza del servidor de AD FS	2420	Mediano	Elevación de privilegios
Modificación sospechosa de un atributo dNSHostName (CVE-2022-26923)	2421	Alto	Elevación de privilegios
Intento sospechoso de delegación kerberos por parte de un equipo recién creado	2422	Alto	Elevación de privilegios
Modificación sospechosa del atributo delegación restringida basada en recursos por una cuenta de equipo	2423	Alto	Elevación de privilegios
Autenticación anómala de Servicios de federación de Active Directory (AD FS) (AD FS) mediante un certificado sospechoso	2424	Alto	Acceso a credenciales
Uso sospechoso de certificados a través del protocolo Kerberos (PKINIT)	2425	Alto	Movimiento lateral
Sospecha de ataque DFSCoerce mediante el protocolo de sistema de archivos distribuido	2426	Alto	Acceso a credenciales
Atributos de usuario honeytoken modificados	2427	Alto	Persistencia
Se ha cambiado la pertenencia a grupos honeytoken	2428	Alto	Persistencia
Honeytoken se consultó a través de LDAP	2429	Bajo	Descubrimiento
Modificación sospechosa del dominio AdminSdHolder	2430	Alto	Persistencia
Sospecha de adquisición de la cuenta mediante credenciales de instantánea	2431	Alto	Acceso a credenciales
Solicitud de certificado del controlador de dominio sospechoso (ESC8)	2432	Alto	Escalación de privilegios
Eliminación sospechosa de las entradas de la base de datos de certificados	2433	Mediano	Evasión de defensa
Deshabilitación sospechosa de filtros de auditoría de AD CS	2434	Mediano	Evasión de defensa
Modificaciones sospechosas en la configuración o permisos de seguridad de AD CS	2435	Mediano	Escalación de privilegios
Reconocimiento de la enumeración de cuentas (LDAP) ( versión preliminar)	2437	Mediano	Detección de cuentas, cuenta de dominio
Cambio de contraseña del modo de restauración de Servicios de directorio	2438	Mediano	Persistencia, Manipulación de cuentas
Manipulación de directiva de grupo	2440	Mediano	Evasión de defensa

Nota:

Póngase en contacto con el soporte técnico para deshabilitar las alertas de seguridad.

Consulta también

• Visualización y administración de alertas de seguridad
• Investigación de alertas de seguridad
• Consulte el foro de Defender for Identity.