suojaushälytykset Microsoft Defender for Identity

Mitä ovat Microsoft Defender for Identity suojaushälytykset?

Microsoft Defender for Identity suojaushälytykset antavat tietoja Defender for Identityn havaitsemista epäilyttävistä toimista sekä kuhunkin uhkaan osallistuvista näyttelijöistä ja tietokoneista. Ilmoitusnäyttöluettelot sisältävät suoria linkkejä osallistuviin käyttäjiin ja tietokoneisiin, jotta tutkimukset ovat helppoja ja suoria.

Huomautus

Defender for Identityä ei ole suunniteltu toimimaan valvonta- tai kirjausratkaisuna, joka tallentaa jokaisen toiminnon tai toiminnan palvelimilla, joihin tunnistin on asennettu. Se tallentaa vain tiedot, joita tarvitaan sen havaitsemis- ja suositusmekanismeihin.

Käyttäjätietoilmoitukset-sivulla on toimialueiden välisiä signaalien rikastamista ja automatisoituja käyttäjätietojen vastausominaisuuksia. Microsoft Defender XDR ilmoitusten tutkimisen etuna on, että Microsoft Defender for Identity hälytykset korreloivat ohjelmistopaketin muista tuotteista saatuihin tietoihin. Nämä parannetut ilmoitukset ovat yhdenmukaisia muiden Microsoft Defender XDR ilmoitusmuotojen kanssa, jotka ovat peräisin Microsoft Defender for Office 365 ja Microsoft Defender for Endpoint.

Ilmoitukset, jotka ovat peräisin Defender for Identity -käynnistimestä, Microsoft Defender XDR automaattisen tutkinnan ja vastauksen (AIR) ominaisuuksia, mukaan lukien ilmoitusten automaattinen korjaaminen sekä epäilyttävään toimintaan mahdollisesti vaikuttavat työkalut ja prosessit.

Microsoft Defender for Identity ilmoitukset näkyvät tällä hetkellä kahdessa eri asettelussa Microsoft Defender XDR portaalissa. Vaikka ilmoitusnäkymissä voi näkyä eri tietoja, kaikki hälytykset perustuvat Defender for Identity -tunnistimien tunnistamisiin. Erot asettelussa ja näytetyissä tiedoissa ovat osa jatkuvaa siirtymistä yhtenäiseen ilmoituskokemukseen eri Microsoft Defender tuotteissa.

Lisätietoja on artikkelissa Suojausilmoitusten tarkasteleminen ja hallinta.

Ilmoitusluokat

Defender for Identityn suojaushälytykset on jaettu seuraaviin luokkiin tai vaiheisiin, kuten tyypillisen kyberhyökkäyksen tappoketjun vaiheisiin. Lue lisätietoja kustakin vaiheesta, hälytyksistä, jotka on suunniteltu tunnistamaan kukin hyökkäys, ja siitä, miten voit suojata verkkosi seuraavien linkkien avulla hälytysten avulla:

1. Tiedustelu- ja etsintäilmoitukset
2. Pysyvyyden ja oikeuksien eskaloinnin ilmoitukset
3. Tunnistetietojen käyttöilmoitukset
4. Sivusuuntaiset liikehälytykset
5. Muut ilmoitukset

Yhdistä suojausilmoitukset yksilölliseen ulkoiseen tunnukseen ja MITRE ATT&CK Matrix -taktiikkaan

Seuraavassa taulukossa on lueteltu ilmoitusten nimien, niiden vastaavien yksilöllisten ulkoisten tunnusten, niiden vakavuuden ja MITRE ATT&CK Matrix -™ taktiikkansa välinen yhdistäminen. Kun sitä käytetään komentosarjojen tai automaation kanssa, Microsoft suosittelee, että hälytysten ulkoisia tunnuksia käytetään hälytysten nimien sijaan, koska vain suojaushälytys ulkoiset tunnukset ovat pysyviä eivätkä muutu.

Suojausilmoituksen nimi	Yksilöllinen ulkoinen tunnus	Vakavuus	MITRE ATT&CK-matriisi™
Epäilty SID-History ruiske	1106	Korkea	Oikeuksien eskalointi
Epäilty ylikulkusyös ja hajautuskoodihyökkäys (Kerberos)	2002	Normaali	Sivusuuntainen liike
Tilin luetteloinnin tiedustelu	2003	Normaali	Löytö
Epäilty brute force -hyökkäys (LDAP)	2004	Normaali	Tunnistetietojen käyttö
Epäilty DCSync-hyökkäys (hakemistopalvelujen replikointi)	2006	Korkea	Tunnistetietojen käyttö, pysyvyys
Verkkomääritysten tiedustelu (DNS)	2007	Normaali	Löytö
Epäilty ylipäästö hash-hyökkäys (pakotettu salaustyyppi)	2008	Normaali	Sivusuuntainen liike
Epäilty Golden Ticket -käyttö (salauksen alentaminen)	2009	Normaali	Pysyvyys, oikeuksien eskalointi, sivuttaisliike
Epäilty Skeleton Key -hyökkäys (salauksen alentaminen)	2010	Normaali	Pysyvyys, sivuttaisliike
Käyttäjän ja IP-osoitteen tiedustelu (SMB)	2012	Normaali	Löytö
Epäilty Golden Ticket -käyttö (taotut valtuutustiedot)	2013	Korkea	Tunnistetietojen käyttö
Honeytoken-todennustoiminta	2014	Normaali	Tunnistetietojen käyttö, etsintä
Epäilty identiteettivarkaus (pass-the-hash)	2017	Korkea	Sivusuuntainen liike
Epäilty identiteettivarkaus (lipun läpäiseminen)	2018	Suuri tai keskikoko	Sivusuuntainen liike
Etäkoodin suoritusyritys	2019	Normaali	Suoritus, pysyvyys, oikeuksien eskalointi, puolustuksen välttely, sivuttaisliike
Tietojen suojaamisen ohjelmointirajapinnan pääavaimen haitallinen pyyntö	2020	Korkea	Tunnistetietojen käyttö
Käyttäjien ja ryhmien jäsenyyksien tiedustelu (SAMR)	2021	Normaali	Löytö
Epäilty Golden Ticket -käyttö (aikapoikkeama)	2022	Korkea	Pysyvyys, oikeuksien eskalointi, sivuttaisliike
Epäilty Brute Forcen hyökkäys (Kerberos, NTLM)	2023	Normaali	Tunnistetietojen käyttö
Epäilyttäviä lisäyksiä luottamuksellisiin ryhmiin	2024	Normaali	Pysyvyys, tunnistetietojen käyttö,
Epäilyttävä VPN-yhteys	2025	Normaali	Puolustuksen välttely, sinnikkyys
Epäilyttävä palvelun luominen	2026	Normaali	Teloitus, pysyvyys, oikeuksien eskalointi, puolustuksen välttely, sivuttaisliike
Epäilty Golden Ticket -käyttö (tili, jota ei ole)	2027	Korkea	Pysyvyys, oikeuksien eskalointi, sivuttaisliike
Epäilty DCShadow-hyökkäys (toimialueen ohjauskoneen ylentäminen)	2028	Korkea	Puolustuksen välttely
Epäilty DCShadow-hyökkäys (toimialueen ohjauskoneen replikointipyyntö)	2029	Korkea	Puolustuksen välttely
Tietojen suodatus yli SMB:n	2030	Korkea	Suodatus, sivuttainen liike, komento ja hallinta
Epäilyttävä viestintä DNS:n avulla	2031	Normaali	Suodatus
Epäilty Golden Ticket -käyttö (lipun poikkeama)	2032	Korkea	Pysyvyys, oikeuksien eskalointi, sivuttaisliike
Epäilty raakalaisväkihyökkäys (SMB)	2033	Normaali	Sivusuuntainen liike
Epäillään Metasploit-hakkerointikehyksen käyttöä	2034	Normaali	Sivusuuntainen liike
Epäilty WannaCry-kiristyshaittaohjelmahyökkäys	2035	Normaali	Sivusuuntainen liike
Etäkoodin suorittaminen DNS:n kautta	2036	Normaali	Sivusuuntainen liike, Etuoikeuden eskalointi
Epäilty NTLM-välityshyökkäys	2037	Keskikokoinen tai pieni, jos se havaitaan allekirjoitetun NTLM v2 -protokollan avulla	Sivusuuntainen liike, Etuoikeuden eskalointi
Suojauksen päänimen tiedustelu (LDAP)	2038	Suuri (jos ratkaisuja havaitaan tai tiettyä työkalua havaitaan) ja Keskikoko	Tunnistetietojen käyttö
Epäilty NTLM-todennuksen peukalointi	2039	Normaali	Sivusuuntainen liike, Etuoikeuden eskalointi
Epäilty Golden Ticket -käyttö (lippujen poikkeama RBCD:n avulla)	2040	Korkea	Sitkeys
Epäilty kerberos-varmenteen käyttö	2047	Korkea	Sivusuuntainen liike
Epäilyttävä Kerberos-delegointiyritys bronzebit-menetelmän avulla (CVE-2020-17049-hyödyntäminen)	2048	Normaali	Tunnistetietojen käyttö
Active Directory -määritteiden tiedustelu (LDAP)	2210	Normaali	Löytö
Epäilty SMB-pakettikäsittely (CVE-2020-0796 hyödyntäminen)	2406	Korkea	Sivusuuntainen liike
Epäilty Kerberos-palvelun päänimen altistuminen	2410	Korkea	Tunnistetietojen käyttö
Epäillään Netlogon-oikeuksien korotusta (CVE-2020-1472-hyväksikäyttö)	2411	Korkea	Oikeuksien eskalointi
Epäilty AS-REP-paahtamishyökkäys	2412	Korkea	Tunnistetietojen käyttö
Epäilty AD FS DKM -avain luettu	2413	Korkea	Tunnistetietojen käyttö
Exchange Server etäkoodin suorittaminen (CVE-2021-26855)	2414	Korkea	Sivusuuntainen liike
Epäilty hyväksikäyttöyritys Windows Print Spooler -palvelussa	2415	Suuri tai keskikoko	Sivusuuntainen liike
Epäilyttävä verkkoyhteys tiedostojärjestelmän etäprotokollan salauksen aikana	2416	Suuri tai keskikoko	Sivusuuntainen liike
Epäillään epäilyttävää Kerberos-lippupyyntöä	2418	Korkea	Tunnistetietojen käyttö
Epäilyttävä sAMNameAccount-määritteen (CVE-2021-42278 ja CVE-2021-42287 hyödyntäminen) epäilyttävä muokkaaminen	2419	Korkea	Tunnistetietojen käyttö
AD FS -palvelimen luottamussuhteen epäilyttävä muokkaaminen	2420	Normaali	Oikeuksien eskalointi
Epäilyttävä dNSHostName-määritteen muokkaaminen (CVE-2022-26923)	2421	Korkea	Oikeuksien eskalointi
Epäilyttävä Kerberos-delegointiyritys juuri luodulla tietokoneella	2422	Korkea	Oikeuksien eskalointi
Tietokonetilin epäilyttävä resurssipohjaisen rajoitetun delegoinnin määritteen muuttaminen	2423	Korkea	Oikeuksien eskalointi
Epänormaali Active Directory -liittoutumispalvelut (AD FS) -todennus epäilyttävää varmennetta käyttäen	2424	Korkea	Tunnistetietojen käyttö
Epäilyttävä varmenteen käyttö Kerberos-protokollan (PKINIT) välityksellä	2425	Korkea	Sivusuuntainen liike
Epäilty DFSCoerce-hyökkäys hajautetun tiedostojärjestelmän protokollan avulla	2426	Korkea	Tunnistetietojen käyttö
Honeytoken-käyttäjän määritteitä muokattu	2427	Korkea	Sitkeys
Honeytoken-ryhmän jäsenyys muuttui	2428	Korkea	Sitkeys
Honeytokenille tehtiin kysely LDAP:n kautta	2429	Matala	Löytö
Toimialueen järjestelmänvalvojan SdHolderin epäilyttävä muokkaus	2430	Korkea	Sitkeys
Epäilty tilin haltuunotto varjotunnistetiedoilla	2431	Korkea	Tunnistetietojen käyttö
Epäilyttävä toimialueen ohjauskoneen varmennepyyntö (ESC8)	2432	Korkea	Oikeuksien eskalointi
Varmennetietokantamerkintöjen epäilyttävä poistaminen	2433	Normaali	Puolustuksen välttely
Epäilyttävä AD CS:n valvontasuodattimien käytöstä poistaminen	2434	Normaali	Puolustuksen välttely
Epäilyttävät muutokset AD CS -suojauksen käyttöoikeuksiin/asetuksiin	2435	Normaali	Oikeuksien eskalointi
Tilin luettelointitietotieto (LDAP) (esikatselu)	2437	Normaali	Tilin etsiminen, toimialuetili
Hakemistopalvelujen palautustilan salasanan vaihtaminen	2438	Normaali	Pysyvyys, Tilin käsittely
ryhmäkäytäntö peukalointi	2440	Normaali	Puolustuksen välttely

Huomautus

Ota yhteyttä tukeen, jos haluat poistaa suojausilmoitukset käytöstä.

Katso myös

• Suojausilmoitusten tarkasteleminen ja hallinta
• Tietoturvahälytysten tutkiminen
• Tutustu Defender for Identity -keskustelupalstalle!