biztonsági riasztások Microsoft Defender for Identity

Megjegyzés

Az ezen a lapon leírt felület a Microsoft 365 Defender részeként érhető elhttps://security.microsoft.com.

Microsoft Defender for Identity biztonsági riasztások ismertetik a Defender for Identity érzékelői által a hálózaton észlelt gyanús tevékenységeket, valamint az egyes fenyegetésekben érintett szereplőket és számítógépeket. A riasztási bizonyítékok listája közvetlen hivatkozásokat tartalmaz az érintett felhasználókra és számítógépekre, hogy megkönnyítse és közvetlenebbé tegye a vizsgálatokat.

A Defender for Identity biztonsági riasztásai a következő kategóriákra vagy fázisokra vannak osztva, mint például a tipikus kibertámadások leölési láncában látható fázisok. További információ az egyes fázisokról, az egyes támadások észlelésére tervezett riasztásokról, valamint arról, hogyan használhatók a riasztások a hálózat védelmére az alábbi hivatkozások használatával:

  1. Felderítési fázis riasztásai
  2. Sérült hitelesítőadat-fázisú riasztások
  3. Oldalirányú mozgási fázis riasztásai
  4. Tartományi dominancia fázisú riasztások
  5. Exfiltrációs fázis riasztásai

A Defender for Identity biztonsági riasztásainak felépítéséről és gyakori összetevőiről a Biztonsági riasztások ismertetése című témakörben olvashat bővebben.

Biztonsági riasztások nevének leképezése és egyedi külső azonosítók

Az alábbi táblázat a riasztások nevei, a hozzájuk tartozó egyedi külső azonosítók, azok súlyossága és a MITRE ATT CK-mátrix™ taktikája&közötti leképezést sorolja fel. Szkriptekkel vagy automatizálással való használat esetén a Microsoft azt javasolja, hogy a riasztásnevek helyett használjon külső riasztásazonosítókat, mivel csak a külső biztonsági riasztások azonosítói állandóak, és nem változhatnak.

Külső azonosítók

Biztonsági riasztás neve Egyedi külső azonosító Súlyosság MITRE ATT&CK-mátrix™
Gyanús overpass-the-hash támadás (Kerberos) 2002 Közepes Oldalirányú mozgás
Fiók-enumerálási felderítés 2003 Közepes Felderítés
Feltételezett találgatásos támadás (LDAP) 2004 Közepes Hitelesítő adatokhoz való hozzáférés
DCSync-támadás gyanúja (címtárszolgáltatások replikálása) 2006 Magas Adatmegőrzés, hitelesítő adatokhoz való hozzáférés
Hálózatleképezési felderítés (DNS) 2007 Közepes Felderítés
Aranyjegy-használat gyanúja (titkosítás visszalépés) 2009 Közepes Privilege Escalation, Lateral movement, Persistence
Gyanús csontvázkulcs-támadás (titkosítás visszalépése) 2010 Közepes Oldalirányú mozgás, Adatmegőrzés
Felhasználó- és IP-címfelderítés (SMB) 2012 Közepes Felderítés
Golden Ticket-használat gyanúja (hamis engedélyezési adatok) 2013 Magas Jogosultságok eszkalálása, oldalirányú mozgás, adatmegőrzés
Honeytoken tevékenység 2014 Közepes Hitelesítő adatokhoz való hozzáférés, felderítés
Személyazonosság-lopás gyanúja (pass-the-hash) 2017 Magas Oldalirányú mozgás
Személyazonosság-lopás gyanúja (pass-the-ticket) 2018 Magas vagy közepes Oldalirányú mozgás
Távoli kódvégrehajtási kísérlet 2019 Közepes Végrehajtás, kitartás, jogosultságeszkaláció, védelmi kijátszás, oldalirányú mozgás
A Data Protection API főkulcsának rosszindulatú kérése 2020 Magas Hitelesítő adatokhoz való hozzáférés
Felhasználó- és csoporttagság-felderítés (SAMR) 2021 Közepes Felderítés
Aranyjegy-használat gyanúja (időanomália) 2022 Magas Privilege Escalation, Lateral movement, Persistence
Feltételezett találgatásos támadás (Kerberos, NTLM) 2023 Közepes Hitelesítő adatokhoz való hozzáférés
Gyanús hozzáadások bizalmas csoportokhoz 2024 Közepes Hitelesítő adatokhoz való hozzáférés, adatmegőrzés
Gyanús VPN-kapcsolat 2025 Közepes Megőrzés, védelmi kijátszás
Gyanús szolgáltatás létrehozása 2026 Közepes Végrehajtás, megőrzés, jogosultságeszkaláció, védelmi kijátszás, oldalirányú mozgás
Arany jegy használatának gyanúja (nem létező fiók) 2027 Magas Jogosultságeszkaláció, oldalirányú mozgás, adatmegőrzés
DCShadow-támadás gyanúja (tartományvezérlő előléptetése) 2028 Magas Védelmi kijátszás
DcShadow-támadás gyanúja (tartományvezérlő replikációs kérése) 2029 Magas Védelmi kijátszás
Adatkiszivárgás SMB-en keresztül 2030 Magas Exfiltration, Lateral movement, Command and control
Gyanús kommunikáció DNS-en keresztül 2031 Közepes Exfiltration
Arany jegy használatának gyanúja (jegyanomália) 2032 Magas Jogosultságeszkaláció, oldalirányú mozgás, adatmegőrzés
Feltételezett találgatásos támadás (SMB) 2033 Közepes Oldalirányú mozgás
Metasploit hacking keretrendszer feltételezett használata 2034 Közepes Oldalirányú mozgás
WannaCry zsarolóvírus-támadás gyanúja 2035 Közepes Oldalirányú mozgás
Távoli kódvégrehajtás DNS-en keresztül 2036 Közepes Jogosultságok eszkalálása, oldalirányú mozgás
NTLM-továbbítási támadás gyanúja 2037 Közepes vagy alacsony, ha aláírt NTLM v2 protokoll használatával figyelték meg Jogosultságok eszkalálása, oldalirányú mozgás
Biztonsági főfelderítés (LDAP) 2038 Közepes Hitelesítő adatokhoz való hozzáférés
NTLM-hitelesítéssel való visszaélés gyanúja 2039 Közepes Jogosultságok eszkalálása, oldalirányú mozgás
Arany jegy használatának gyanúja (jegyanomália az RBCD használatával) 2040 Magas Kitartás
Gyanús kerberos-tanúsítványhasználat 2047 Magas Oldalirányú mozgás
Active Directory-attribútumok felderítése (LDAP) 2210 Közepes Felderítés
Gyanús SMB-csomagmanipuláció (CVE-2020-0796-os kihasználtság) – (előzetes verzió) 2406 Magas Oldalirányú mozgás
Kerberos SPN-kitettség gyanúja (külső azonosító: 2410) 2410 Magas Hitelesítő adatokhoz való hozzáférés
Netlogon jogosultságszint-emelési kísérlet gyanúja (CVE-2020-1472-kihasználás) 2411 Magas Jogosultság eszkalációja
As-REP pörkölési támadás gyanúja 2412 Magas Hitelesítő adatokhoz való hozzáférés
Exchange Server távoli kódfuttatás (CVE-2021-26855) 2414 Magas Oldalirányú mozgás
Feltételezett kihasználási kísérlet a Windows Nyomtatásisor-kezelő szolgáltatásban 2415 Magas vagy közepes Oldalirányú mozgás
Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül 2416 Magas vagy közepes Oldalirányú mozgás
SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 kihasználtság) 2419 Magas Hitelesítő adatokhoz való hozzáférés

Megjegyzés

A biztonsági riasztások letiltásához forduljon az ügyfélszolgálathoz.

Lásd még: