Megosztás a következőn keresztül:

Biztonsági riasztások a Microsoft Defender for Identity szolgáltatásban

  • Cikk

Feljegyzés

Az ezen a lapon ismertetett felület a Microsoft Defender XDR részeként érhető el https://security.microsoft.com .

A Microsoft Defender for Identity biztonsági riasztásai ismertetik a Defender for Identity érzékelői által a hálózaton észlelt gyanús tevékenységeket, valamint az egyes fenyegetésekben érintett szereplőket és számítógépeket. A riasztási bizonyítékok listája közvetlen hivatkozásokat tartalmaz az érintett felhasználókra és számítógépekre, hogy megkönnyítse és közvetlenebbé tegye a vizsgálatot.

A Defender for Identity biztonsági riasztásai a következő kategóriákra vagy fázisokra oszlanak, például egy tipikus kibertámadási gyilkossági lánc fázisaira. További információ az egyes fázisokról, az egyes támadások észlelésére tervezett riasztásokról, valamint a riasztások használatáról a hálózat védelme érdekében az alábbi hivatkozások használatával:

  1. Felderítési és felderítési riasztások
  2. Adatmegőrzési és jogosultság-eszkalációs riasztások
  3. Hitelesítőadat-hozzáférési riasztások
  4. Oldalirányú mozgásra vonatkozó riasztások
  5. Egyéb riasztások

A Defender for Identity biztonsági riasztásainak felépítéséről és gyakori összetevőiről további információt a biztonsági riasztások ismertetése című témakörben talál.

Biztonsági riasztások névleképezése és egyedi külső azonosítók

Az alábbi táblázat a riasztások nevei, a hozzájuk tartozó egyedi külső azonosítók, súlyosságuk és a MITRE ATT&CK Mátrix™ taktikája közötti megfeleltetést sorolja fel. Ha szkriptekkel vagy automatizálással használják, a Microsoft a riasztásnevek helyett külső riasztásazonosítók használatát javasolja, mivel csak a külső biztonsági riasztások állandóak, és nem változnak.

Külső azonosítók

Biztonsági riasztás neve Egyedi külső azonosító Súlyosság MITRE ATT&CK mátrix™
Sid-History-injektálás gyanúja 1106 Magas Jogosultság eszkalációja
Feltételezett felüljáró-a-hash támadás (Kerberos) 2002 Közepes Oldalirányú mozgás
Fiók számbavételének felderítése 2003 Közepes Felderítés
Feltételezett találgatásos támadás (LDAP) 2004 Közepes Hitelesítő adatokhoz való hozzáférés
DCSync-támadás gyanúja (címtárszolgáltatások replikálása) 2006 Magas Hitelesítő adatokhoz való hozzáférés, adatmegőrzés
Hálózatleképezés felderítése (DNS) 2007 Közepes Felderítés
Feltételezett túllépéses hash támadás (kényszerített titkosítási típus) 2008 Közepes Oldalirányú mozgás
Aranyjegy-használat gyanúja (titkosítási visszalépés) 2009 Közepes Perzisztencia, Jogosultságok eszkalálása, Oldalirányú mozgás
Feltételezett csontvázkulcs-támadás (titkosítási leminősítés) 2010 Közepes Állandóság, oldalirányú mozgás
Felhasználói és IP-címek felderítése (SMB) 2012 Közepes Felderítés
Aranyjegy-használat gyanúja (hamisított engedélyezési adatok) 2013 Magas Hitelesítő adatokhoz való hozzáférés
Honeytoken hitelesítési tevékenység 2014 Közepes Hitelesítő adatokhoz való hozzáférés, felderítés
Személyazonosság-lopás gyanúja (pass-the-hash) 2017 Magas Oldalirányú mozgás
Személyazonosság-lopás gyanúja (pass-the-ticket) 2018 Magas vagy közepes Oldalirányú mozgás
Távoli kódvégrehajtási kísérlet 2019 Közepes Végrehajtás, Kitartás, Jogosultságok eszkalálása, Védelmi kijátszás, Oldalirányú mozgás
A Data Protection API főkulcsának rosszindulatú kérése 2020 Magas Hitelesítő adatokhoz való hozzáférés
Felhasználói és csoporttagsági felderítés (SAMR) 2021 Közepes Felderítés
Gyanús Arany jegy használata (idő anomália) 2022 Magas Perzisztencia, Jogosultságok eszkalálása, Oldalirányú mozgás
Feltételezett találgatásos támadás (Kerberos, NTLM) 2023 Közepes Hitelesítő adatokhoz való hozzáférés
Gyanús hozzáadások bizalmas csoportokhoz 2024 Közepes Adatmegőrzés, hitelesítő adatokhoz való hozzáférés,
Gyanús VPN-kapcsolat 2025 Közepes Védelmi kijátszás, kitartás
Gyanús szolgáltatás létrehozása 2026 Közepes Végrehajtás, Kitartás, Jogosultságeszkaláció, Védelmi kijátszás, Oldalirányú mozgás
Aranyjegy-használat gyanúja (nem létező fiók) 2027 Magas Perzisztencia, Jogosultságok eszkalálása, Oldalirányú mozgás
DcShadow-támadás gyanúja (tartományvezérlő előléptetése) 2028 Magas Védelmi kijátszás
DcShadow-támadás gyanúja (tartományvezérlő replikációs kérése) 2029 Magas Védelmi kijátszás
Adatszűrés SMB-en keresztül 2030 Magas Exfiltration, Lateral movement, Command and control
Gyanús kommunikáció DNS-en keresztül 2031 Közepes Adatok kinyerése
Aranyjegy-használat gyanúja (jegy anomáliája) 2032 Magas Perzisztencia, Jogosultságok eszkalálása, Oldalirányú mozgás
Feltételezett találgatásos támadás (SMB) 2033 Közepes Oldalirányú mozgás
A Metasploit hacking keretrendszerének feltételezett használata 2034 Közepes Oldalirányú mozgás
WannaCry ransomware-támadás gyanúja 2035 Közepes Oldalirányú mozgás
Távoli kódvégrehajtás DNS-en keresztül 2036 Közepes Oldalirányú mozgás, Jogosultságok eszkalálása
NTLM-továbbítási támadás gyanúja 2037 Közepes vagy alacsony, ha az aláírt NTLM v2 protokoll használatával figyelhető meg Oldalirányú mozgás, Jogosultságok eszkalálása
Biztonsági tagok felderítése (LDAP) 2038 Közepes Hitelesítő adatokhoz való hozzáférés
Gyanús NTLM-hitelesítés illetéktelen illetéktelen használata 2039 Közepes Oldalirányú mozgás, Jogosultságok eszkalálása
Aranyjegy-használat gyanúja (jegy anomáliája RBCD használatával) 2040 Magas Kitartás
Gyanús kerberos-tanúsítványhasználat 2047 Magas Oldalirányú mozgás
Gyanús Kerberos-delegálási kísérlet a BronzeBit metódussal (CVE-2020-17049 kihasználtság) 2048 Közepes Hitelesítő adatokhoz való hozzáférés
Active Directory-attribútumok felderítése (LDAP) 2210 Közepes Felderítés
SMB-csomagok feltételezett manipulálása (CVE-2020-0796-os kihasználtság) 2406 Magas Oldalirányú mozgás
Kerberos SPN-kitettség gyanúja 2410 Magas Hitelesítő adatokhoz való hozzáférés
Netlogon jogosultságszint-emelési kísérlet (CVE-2020-1472 kihasználtság) 2411 Magas Jogosultság eszkalációja
As-REP-pörkölési támadás gyanúja 2412 Magas Hitelesítő adatokhoz való hozzáférés
Gyanús AD FS DKM-kulcs olvasása 2413 Magas Hitelesítő adatokhoz való hozzáférés
Exchange Server távoli kód végrehajtása (CVE-2021-26855) 2414 Magas Oldalirányú mozgás
Feltételezett kihasználási kísérlet a Windows Print Spooler szolgáltatásban 2415 Magas vagy közepes Oldalirányú mozgás
Gyanús hálózati kapcsolat a fájlrendszer távoli protokoll titkosítása során 2416 Magas vagy közepes Oldalirányú mozgás
Gyanús Kerberos-jegykérés gyanúja 2418 Magas Hitelesítő adatokhoz való hozzáférés
SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 kihasználtság) 2419 Magas Hitelesítő adatokhoz való hozzáférés
Az AD FS-kiszolgáló megbízhatósági kapcsolatának gyanús módosítása 2420 Közepes Jogosultság eszkalációja
DNSHostName attribútum gyanús módosítása (CVE-2022-26923) 2421 Magas Jogosultság eszkalációja
Gyanús Kerberos-delegálási kísérlet egy újonnan létrehozott számítógép által 2422 Magas Jogosultság eszkalációja
Az erőforrás-alapú korlátozott delegálás attribútum gyanús módosítása egy gépfiókon 2423 Magas Jogosultság eszkalációja
Rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítés gyanús tanúsítvány használatával 2424 Magas Hitelesítő adatokhoz való hozzáférés
Gyanús tanúsítványhasználat Kerberos protokollon (PKINIT) keresztül 2425 Magas Oldalirányú mozgás
Elosztott fájlrendszer protokoll használatával történő DFSCoerce-támadás gyanúja 2426 Magas Hitelesítő adatokhoz való hozzáférés
Honeytoken felhasználói attribútumok módosultak 2427 Magas Kitartás
Módosult a Honeytoken-csoporttagság 2428 Magas Kitartás
Honeytoken-t LDAP-n keresztül kérdezték le 2429 Alacsony Felderítés
A tartomány Rendszergazda SdHolder gyanús módosítása 2430 Magas Kitartás
Gyanús fiókátvétel árnyék hitelesítő adatokkal 2431 Magas Hitelesítő adatokhoz való hozzáférés
Gyanús tartományvezérlő tanúsítványkérelem (ESC8) 2432 Magas Jogosultságok eszkalálása
A tanúsítvány-adatbázis bejegyzéseinek gyanús törlése 2433 Közepes Védelmi kijátszás
Az AD CS naplózási szűrőinek gyanús letiltása 2434 Közepes Védelmi kijátszás
Az AD CS biztonsági engedélyeinek/beállításainak gyanús módosításai 2435 Közepes Jogosultságok eszkalálása
Fiók számbavételének felderítése (LDAP) (előzetes verzió) 2437 Közepes Fiókfelderítés, tartományi fiók
Címtárszolgáltatások visszaállítási módjának jelszóváltoztatása 2438 Közepes Adatmegőrzés, fiókkezelés
Honeytoken-t SAM-R-n keresztül kérdezték le 2439 Alacsony Felderítés
Csoportházirend-módosítás 2440 Közepes Védelmi kijátszás

Feljegyzés

A biztonsági riasztások letiltásához forduljon az ügyfélszolgálathoz.

Kapcsolódó információk