Alertes de sécurité dans Microsoft Defender pour Identity

Notes

L’expérience décrite dans cette page est accessible à l’adresse https://security.microsoft.com dans le cadre de Microsoft 365 Defender.

Microsoft Defender pour Identity alertes de sécurité expliquent les activités suspectes détectées par les capteurs Defender pour Identity sur votre réseau, ainsi que les acteurs et les ordinateurs impliqués dans chaque menace. Des listes de preuves d’alertes contiennent des liens directs vers les ordinateurs et les utilisateurs impliqués, afin de rendre vos recherches plus faciles et plus directes.

Les alertes de sécurité Defender pour Identity sont divisées en catégories ou phases suivantes, comme les phases observées dans une chaîne de destruction de cyberattaque classique. Apprenez-en davantage sur chaque phase et sur les alertes conçues pour détecter chaque attaque, et découvrez comment utiliser les alertes pour vous aider à protéger votre réseau en suivant les liens ci-dessous :

1. Alertes de reconnaissance et de découverte
2. Alertes de persistance et d’escalade des privilèges
3. Alertes d’accès aux informations d’identification
4. Alertes de mouvement latéral
5. Autres alertes

Pour en savoir plus sur la structure et les composants communs de toutes les alertes de sécurité Defender pour Identity, consultez Présentation des alertes de sécurité.

Mappage des noms d’alertes de sécurité et ID externes uniques

Le tableau suivant répertorie le mappage entre les noms d’alerte, leurs ID externes uniques correspondants, leur gravité et leur tactique de matrice™ MITRE ATT&CK. En cas d’utilisation avec des scripts ou avec l’automation, Microsoft recommande d’utiliser les ID externes des alertes au lieu de leur nom, car seuls les ID externes des alertes de sécurité sont permanents et non susceptibles d’être modifiés.

ID externes

Nom de l’alerte de sécurité	ID externe unique	Gravité	Matrice™ MITRE ATT&CK
Suspicion d’attaque over-pass-the-hash (Kerberos)	2002	Moyenne	Mouvement latéral
Reconnaissance d’énumération de compte	2003	Moyenne	Découverte
Suspicion d’attaque par force brute (LDAP)	2004	Moyenne	Accès aux informations d’identification
Suspicion d’attaque DCSync (réplication de services d’annuaire)	2006	Importante	Accès aux informations d’identification, Persistance
Reconnaissance de mappage de réseau (DNS)	2007	Moyenne	Découverte
Suspicion d’utilisation de golden ticket (passage à une version antérieure du chiffrement)	2009	Moyenne	Persistance, Escalade des privilèges, Mouvement latéral
Suspicion d’attaque Skeleton Key (passage à une version antérieure du chiffrement)	2010	Moyenne	Persistance, Mouvement latéral
Reconnaissance des utilisateurs et des adresses IP (SMB)	2012	Moyenne	Découverte
Suspicion d’utilisation de golden ticket (données d’autorisation falsifiées)	2013	Importante	Accès aux informations d’identification
Activité Honeytoken	2014	Moyenne	Accès aux informations d’identification, découverte
Suspicion d’usurpation d’identité (pass-the-hash)	2017	Importante	Mouvement latéral
Suspicion d’usurpation d’identité (pass-the-ticket)	2018	Importante ou Moyenne	Mouvement latéral
Tentative d’exécution de code à distance	2019	Moyenne	Exécution, Persistance, Escalade des privilèges, Évasion de défense, Mouvement latéral
Demande malveillante de la clé principale de l’API de protection des données	2020	Importante	Accès aux informations d’identification
Reconnaissance de l’appartenance des utilisateurs et des groupes (SAMR)	2021	Moyenne	Découverte
Suspicion d’utilisation de golden ticket (anomalie de temps)	2022	Importante	Persistance, Escalade des privilèges, Mouvement latéral
Suspicion d’attaque par force brute (Kerberos, NTLM)	2023	Moyenne	Accès aux informations d’identification
Ajouts suspects à des groupes sensibles	2024	Moyenne	Persistance, Accès aux informations d’identification,
Connexion VPN suspecte	2025	Moyenne	Évasion de défense, persistance
Création de service malveillant	2026	Moyenne	Exécution, Persistance, Escalade des privilèges, Évasion de défense, Mouvement latéral
Suspicion d’utilisation de golden ticket (compte inexistant)	2027	Importante	Persistance, Escalade des privilèges, Mouvement latéral
Suspicion d’attaque DCShadow (promotion du contrôleur de domaine)	2028	Importante	Intrusion dans la défense
Suspicion d’attaque DCShadow (demande de réplication du contrôleur de domaine)	2029	Importante	Intrusion dans la défense
Exfiltration de données sur SMB	2030	Importante	Exfiltration, Mouvement latéral, Commande et contrôle
Communication suspecte sur DNS	2031	Moyenne	Exfiltration
Suspicion d’utilisation de golden ticket (anomalie de ticket)	2032	Importante	Persistance, Escalade des privilèges, Mouvement latéral
Suspicion d’attaque par force brute (SMB)	2033	Moyenne	Mouvement latéral
Suspicion d’utilisation du framework de piratage Metasploit	2034	Moyenne	Mouvement latéral
Suspicion d’attaque de ransomware WannaCry	2035	Moyenne	Mouvement latéral
Exécution de code à distance sur DNS	2036	Moyenne	Mouvement latéral, escalade des privilèges
Suspicion d’attaque par relais NTLM	2037	Moyenne ou Faible si observée à l’aide du protocole NTLM v2 signé	Mouvement latéral, escalade des privilèges
Reconnaissance de principal de sécurité (LDAP)	2038	Moyenne	Accès aux informations d’identification
Falsification de l’authentification NTLM suspectée	2039	Moyenne	Mouvement latéral, escalade des privilèges
Suspicion d’utilisation d’un golden ticket (anomalie de ticket à l’aide de RBCD)	2040	Importante	Persistance
Suspicion d’utilisation d’un certificat Kerberos non autorisé	2047	Importante	Mouvement latéral
Reconnaissance des attributs Active Directory (LDAP)	2210	Moyenne	Découverte
Manipulation présumée de paquet SMB (exploitation CVE-2020-0796) - (préversion)	2406	Importante	Mouvement latéral
Suspicion d’exposition de noms SPN Kerberos (ID externe 2410)	2410	Importante	Accès aux informations d’identification
Suspicion de tentative d’élévation des privilèges Netlogon (exploitation CVE-2020-1472)	2411	Importante	Réaffectation de privilèges
Suspicion d’attaque AS-REP Roasting	2412	Importante	Accès aux informations d’identification
Exécution de code à distance dans Exchange Server (CVE-2021-26855)	2414	Importante	Mouvement latéral
Suspicion de tentative d’exploitation sur le service Spouleur d’impression Windows	2415	Importante ou Moyenne	Mouvement latéral
Connexion réseau suspecte sur le protocole EFSRPC (Encrypting File System Remote Protocol)	2416	Importante ou Moyenne	Mouvement latéral
Modification suspecte d’un attribut sAMNameAccount (exploitation CVE-2021-42278 et CVE-2021-42287)	2419	Importante	Accès aux informations d’identification

Notes

Pour désactiver une alerte de sécurité, contactez le support technique.

Voir aussi

• Utilisation des alertes de sécurité
• Comprendre les alertes de sécurité
• Consultez le Forum Defender pour Identity.