biztonsági riasztások Microsoft Defender for Identity

Megjegyzés

Az ezen a lapon leírt felület a Microsoft 365 Defender részeként érhető elhttps://security.microsoft.com.

Microsoft Defender for Identity biztonsági riasztások ismertetik a Defender for Identity érzékelői által a hálózaton észlelt gyanús tevékenységeket, valamint az egyes fenyegetésekben érintett szereplőket és számítógépeket. A riasztási bizonyítékok listája közvetlen hivatkozásokat tartalmaz az érintett felhasználókra és számítógépekre, hogy megkönnyítse és közvetlenebbé tegye a vizsgálatokat.

A Defender for Identity biztonsági riasztásai a következő kategóriákra vagy fázisokra vannak osztva, mint például a tipikus kibertámadások leölési láncában látható fázisok. Tudjon meg többet az egyes fázisokról, az egyes támadások észlelésére tervezett riasztásokról, valamint arról, hogyan használhatja a riasztásokat a hálózat védelmére az alábbi hivatkozások használatával:

  1. Felderítési fázis riasztásai
  2. Sérült hitelesítőadat-fázisú riasztások
  3. Oldalirányú mozgási fázisra vonatkozó riasztások
  4. Tartományi dominancia fázisú riasztások
  5. Exfiltrációs fázisra vonatkozó riasztások

A Defender for Identity biztonsági riasztásainak felépítéséről és gyakori összetevőiről további információt a biztonsági riasztások ismertetése című témakörben talál.

Biztonsági riasztások névleképezése és egyedi külső azonosítók

Az alábbi táblázat a riasztások nevei, a hozzájuk tartozó egyedi külső azonosítók, a súlyosságuk és a MITRE ATT&CK-mátrix-taktikája™ közötti leképezést sorolja fel. Szkriptekkel vagy automatizálással való használat esetén a Microsoft a riasztásnevek helyett a riasztások külső azonosítóit javasolja, mivel csak a külső biztonsági riasztások azonosítói állandóak, és nem módosíthatók.

Külső azonosítók

Biztonsági riasztás neve Egyedi külső azonosító Súlyosság MITRE ATT&CK mátrix™
Gyanús felüljáró-the-hash támadás (Kerberos) 2002 Közepes Oldalirányú mozgás
Fiók-enumerálási felderítés 2003 Közepes Felderítés
Feltételezett találgatásos támadás (LDAP) 2004 Közepes Hitelesítő adatokhoz való hozzáférés
DCSync-támadás gyanúja (címtárszolgáltatások replikációja) 2006 Magas Adatmegőrzés, hitelesítő adatokhoz való hozzáférés
Hálózatleképezés felderítése (DNS) 2007 Közepes Felderítés
Az Arany jegy használatának gyanúja (titkosítási visszalépés) 2009 Közepes Jogosultságeszkaláció, oldalirányú mozgás, megőrzés
Gyanús csontvázkulcs-támadás (titkosítási visszalépés) 2010 Közepes Oldalirányú mozgás, Állandóság
Felhasználó- és IP-címfelderítés (SMB) 2012 Közepes Felderítés
Arany jegy használatának gyanúja (hamisított engedélyezési adatok) 2013 Magas Jogosultságok eszkalálása, oldalirányú mozgás, megőrzés
Honeytoken tevékenység 2014 Közepes Hitelesítő adatokhoz való hozzáférés, felderítés
Személyazonossággal kapcsolatos lopás gyanúja (pass-the-hash) 2017 Magas Oldalirányú mozgás
Személyazonossággal kapcsolatos lopás gyanúja (pass-the-ticket) 2018 Magas vagy közepes Oldalirányú mozgás
Távoli kódvégrehajtási kísérlet 2019 Közepes Végrehajtás, megőrzés, jogosultságeszkaláció, védelmi kijátszás, oldalirányú mozgás
A Data Protection API főkulcsának rosszindulatú kérése 2020 Magas Hitelesítő adatokhoz való hozzáférés
Felhasználói és csoporttagsági felderítés (SAMR) 2021 Közepes Felderítés
Gyanús Arany jegy használata (időanomália) 2022 Magas Jogosultságeszkaláció, oldalirányú mozgás, megőrzés
Feltételezett találgatásos támadás (Kerberos, NTLM) 2023 Közepes Hitelesítő adatokhoz való hozzáférés
Gyanús hozzáadások bizalmas csoportokhoz 2024 Közepes Hitelesítő adatokhoz való hozzáférés, adatmegőrzés
Gyanús VPN-kapcsolat 2025 Közepes Megőrzés, védelmi kijátszás
Gyanús szolgáltatás létrehozása 2026 Közepes Végrehajtás, megőrzés, jogosultságeszkaláció, védelmi kijátszás, oldalirányú mozgás
Gyanús aranyjegy használata (nem létező fiók) 2027 Magas Jogosultságeszkaláció, oldalirányú mozgás, megőrzés
DcShadow-támadás gyanúja (tartományvezérlő előléptetése) 2028 Magas Védelmi kijátszás
DCShadow-támadás gyanúja (tartományvezérlő replikációs kérése) 2029 Magas Védelmi kijátszás
Adatkiszivárgás SMB-en keresztül 2030 Magas Exfiltráció, oldalirányú mozgás, parancs és vezérlés
Gyanús kommunikáció DNS-en keresztül 2031 Közepes Kiszivárgás
Gyanús aranyjegy-használat (jegyanomália) 2032 Magas Jogosultságeszkaláció, oldalirányú mozgás, megőrzés
Feltételezett találgatásos támadás (SMB) 2033 Közepes Oldalirányú mozgás
A Metasploit hackelési keretrendszer feltételezett használata 2034 Közepes Oldalirányú mozgás
WannaCry zsarolóprogram-támadás gyanúja 2035 Közepes Oldalirányú mozgás
Távoli kódvégrehajtás DNS-en keresztül 2036 Közepes Jogosultságeszkaláció, oldalirányú mozgás
NTLM relay-támadás gyanúja 2037 Közepes vagy alacsony, ha aláírt NTLM v2 protokoll használatával figyelték meg Jogosultságeszkaláció, oldalirányú mozgás
Rendszerbiztonsági tag felderítése (LDAP) 2038 Közepes Hitelesítő adatokhoz való hozzáférés
Gyanús NTLM-hitelesítés illetéktelen hozzáférése 2039 Közepes Jogosultságeszkaláció, oldalirányú mozgás
Gyanús aranyjegy-használat (jegyanomália az RBCD használatával) 2040 Magas Kitartás
Gyanús kerberos-tanúsítványhasználat 2047 Magas Oldalirányú mozgás
Active Directory-attribútumok felderítése (LDAP) 2210 Közepes Felderítés
Gyanús SMB-csomagmanipuláció (CVE-2020-0796-os kihasználtság) – (előzetes verzió) 2406 Magas Oldalirányú mozgás
Kerberos SPN-kitettség gyanúja (külső azonosító: 2410) 2410 Magas Hitelesítő adatokhoz való hozzáférés
Netlogon jogosultságszint-emelési kísérlet gyanúja (CVE-2020-1472 kihasználtság) 2411 Magas Jogosultság eszkalációja
Gyanús AS-REP pörkölés támadás 2412 Magas Hitelesítő adatokhoz való hozzáférés
Exchange Server távoli kódvégrehajtás (CVE-2021-26855) 2414 Magas Oldalirányú mozgás
A Windows Nyomtatásisor-kezelő szolgáltatással kapcsolatos feltételezett kizsákmányolási kísérlet 2415 Magas vagy közepes Oldalirányú mozgás
Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül 2416 Magas vagy közepes Oldalirányú mozgás
SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 exploitation) 2419 Magas Hitelesítő adatokhoz való hozzáférés

Megjegyzés

A biztonsági riasztások letiltásához forduljon az ügyfélszolgálathoz.

Lásd még: