Alertes de sécurité Microsoft Defender pour Identity

Notes

L’expérience décrite dans cette page est accessible https://security.microsoft.com dans le cadre de Microsoft 365 Defender.

Microsoft Defender pour Identity alertes de sécurité expliquent les activités suspectes détectées par les capteurs Defender pour Identity sur votre réseau, ainsi que les acteurs et les ordinateurs impliqués dans chaque menace. Des listes de preuves d’alertes contiennent des liens directs vers les ordinateurs et les utilisateurs impliqués, afin de rendre vos recherches plus faciles et plus directes.

Les alertes de sécurité Defender pour Identity sont divisées en catégories ou phases suivantes, comme les phases vues dans une chaîne de destruction de cyber-attaque classique. Apprenez-en davantage sur chaque phase et sur les alertes conçues pour détecter chaque attaque, et découvrez comment utiliser les alertes pour vous aider à protéger votre réseau en suivant les liens ci-dessous :

  1. Alertes de la phase de reconnaissance
  2. Alertes de la phase des informations d’identification compromises
  3. Alertes de la phase de mouvement latéral
  4. Alertes de la phase de dominance du domaine
  5. Alertes de la phase d’exfiltration

Pour en savoir plus sur la structure et les composants courants de toutes les alertes de sécurité Defender pour Identity, consultez Présentation des alertes de sécurité.

Mappage des noms d’alertes de sécurité et ID externes uniques

Le tableau suivant répertorie le mappage entre les noms d’alerte, leurs ID externes uniques correspondants, leur gravité et leur tactique MITRE ATT&CK Matrix™. En cas d’utilisation avec des scripts ou avec l’automation, Microsoft recommande d’utiliser les ID externes des alertes au lieu de leur nom, car seuls les ID externes des alertes de sécurité sont permanents et non susceptibles d’être modifiés.

ID externes

Nom de l’alerte de sécurité ID externe unique Gravité Matrice MITRE ATT&CK™
Suspicion d’attaque over-pass-the-hash (Kerberos) 2002 Moyenne Mouvement latéral
Reconnaissance d’énumération de compte 2003 Moyenne Découverte
Suspicion d’attaque par force brute (LDAP) 2004 Moyenne Accès aux informations d’identification
Suspicion d’attaque DCSync (réplication de services d’annuaire) 2006 Importante Persistance, accès aux informations d’identification
Reconnaissance de mappage de réseau (DNS) 2007 Moyenne Découverte
Suspicion d’utilisation de golden ticket (passage à une version antérieure du chiffrement) 2009 Moyenne Escalade des privilèges, mouvement latéral, persistance
Suspicion d’attaque Skeleton Key (passage à une version antérieure du chiffrement) 2010 Moyenne Mouvement latéral, persistance
Reconnaissance des utilisateurs et des adresses IP (SMB) 2012 Moyenne Découverte
Suspicion d’utilisation de golden ticket (données d’autorisation falsifiées) 2013 Importante Escalade des privilèges, mouvement latéral, persistance
Activité Honeytoken 2014 Moyenne Accès aux informations d’identification, découverte
Suspicion d’usurpation d’identité (pass-the-hash) 2017 Importante Mouvement latéral
Suspicion d’usurpation d’identité (pass-the-ticket) 2018 Importante ou Moyenne Mouvement latéral
Tentative d’exécution de code à distance 2019 Moyenne Exécution, persistance, escalade de privilèges, évasion de défense, mouvement latéral
Demande malveillante de la clé principale de l’API de protection des données 2020 Importante Accès aux informations d’identification
Reconnaissance de l’appartenance des utilisateurs et des groupes (SAMR) 2021 Moyenne Découverte
Suspicion d’utilisation de golden ticket (anomalie de temps) 2022 Importante Escalade des privilèges, mouvement latéral, persistance
Suspicion d’attaque par force brute (Kerberos, NTLM) 2023 Moyenne Accès aux informations d’identification
Ajouts suspects à des groupes sensibles 2024 Moyenne Accès aux informations d’identification, persistance
Connexion VPN suspecte 2025 Moyenne Persistance, évasion de défense
Création de service malveillant 2026 Moyenne Exécution, persistance, escalade de privilèges, évasion de défense, mouvement latéral
Suspicion d’utilisation de golden ticket (compte inexistant) 2027 Importante Élévation de privilèges, mouvement latéral, persistance
Suspicion d’attaque DCShadow (promotion du contrôleur de domaine) 2028 Importante Intrusion dans la défense
Suspicion d’attaque DCShadow (demande de réplication du contrôleur de domaine) 2029 Importante Intrusion dans la défense
Exfiltration de données sur SMB 2030 Importante Exfiltration, mouvement latéral, commande et contrôle
Communication suspecte sur DNS 2031 Moyenne Exfiltration
Suspicion d’utilisation de golden ticket (anomalie de ticket) 2032 Importante Élévation de privilèges, mouvement latéral, persistance
Suspicion d’attaque par force brute (SMB) 2033 Moyenne Mouvement latéral
Suspicion d’utilisation du framework de piratage Metasploit 2034 Moyenne Mouvement latéral
Suspicion d’attaque de ransomware WannaCry 2035 Moyenne Mouvement latéral
Exécution de code à distance sur DNS 2036 Moyenne Élévation de privilèges, mouvement latéral
Suspicion d’attaque par relais NTLM 2037 Moyenne ou Faible si observée à l’aide du protocole NTLM v2 signé Élévation de privilèges, mouvement latéral
Reconnaissance de principal de sécurité (LDAP) 2038 Moyenne Accès aux informations d’identification
Falsification de l’authentification NTLM suspectée 2039 Moyenne Élévation de privilèges, mouvement latéral
Suspicion d’utilisation d’un golden ticket (anomalie de ticket à l’aide de RBCD) 2040 Importante Persistance
Suspicion d’utilisation d’un certificat Kerberos non autorisé 2047 Importante Mouvement latéral
Reconnaissance des attributs Active Directory (LDAP) 2210 Moyenne Découverte
Manipulation présumée de paquet SMB (exploitation CVE-2020-0796) - (préversion) 2406 Importante Mouvement latéral
Suspicion d’exposition de noms SPN Kerberos (ID externe 2410) 2410 Importante Accès aux informations d’identification
Suspicion de tentative d’élévation des privilèges Netlogon (exploitation CVE-2020-1472) 2411 Importante Réaffectation de privilèges
Suspicion d’attaque AS-REP Roasting 2412 Importante Accès aux informations d’identification
Exécution de code à distance dans Exchange Server (CVE-2021-26855) 2414 Importante Mouvement latéral
Suspicion de tentative d’exploitation sur le service Spouleur d’impression Windows 2415 Importante ou Moyenne Mouvement latéral
Connexion réseau suspecte sur le protocole EFSRPC (Encrypting File System Remote Protocol) 2416 Importante ou Moyenne Mouvement latéral
Modification suspecte d’un attribut sAMNameAccount (exploitation CVE-2021-42278 et CVE-2021-42287) 2419 Importante Accès aux informations d’identification

Notes

Pour désactiver une alerte de sécurité, contactez le support technique.

Voir aussi