biztonsági riasztások Microsoft Defender for Identity
Megjegyzés
Az ezen a lapon leírt felület a Microsoft 365 Defender részeként érhető elhttps://security.microsoft.com.
Microsoft Defender for Identity biztonsági riasztások ismertetik a Defender for Identity érzékelői által a hálózaton észlelt gyanús tevékenységeket, valamint az egyes fenyegetésekben érintett szereplőket és számítógépeket. A riasztási bizonyítékok listája közvetlen hivatkozásokat tartalmaz az érintett felhasználókra és számítógépekre, hogy megkönnyítse és közvetlenebbé tegye a vizsgálatokat.
A Defender for Identity biztonsági riasztásai a következő kategóriákra vagy fázisokra vannak osztva, mint például a tipikus kibertámadások leölési láncában látható fázisok. További információ az egyes fázisokról, az egyes támadások észlelésére tervezett riasztásokról, valamint arról, hogyan használhatók a riasztások a hálózat védelmére az alábbi hivatkozások használatával:
- Felderítési fázis riasztásai
- Sérült hitelesítőadat-fázisú riasztások
- Oldalirányú mozgási fázis riasztásai
- Tartományi dominancia fázisú riasztások
- Exfiltrációs fázis riasztásai
A Defender for Identity biztonsági riasztásainak felépítéséről és gyakori összetevőiről a Biztonsági riasztások ismertetése című témakörben olvashat bővebben.
Biztonsági riasztások nevének leképezése és egyedi külső azonosítók
Az alábbi táblázat a riasztások nevei, a hozzájuk tartozó egyedi külső azonosítók, azok súlyossága és a MITRE ATT CK-mátrix™ taktikája&közötti leképezést sorolja fel. Szkriptekkel vagy automatizálással való használat esetén a Microsoft azt javasolja, hogy a riasztásnevek helyett használjon külső riasztásazonosítókat, mivel csak a külső biztonsági riasztások azonosítói állandóak, és nem változhatnak.
Külső azonosítók
| Biztonsági riasztás neve | Egyedi külső azonosító | Súlyosság | MITRE ATT&CK-mátrix™ |
|---|---|---|---|
| Gyanús overpass-the-hash támadás (Kerberos) | 2002 | Közepes | Oldalirányú mozgás |
| Fiók-enumerálási felderítés | 2003 | Közepes | Felderítés |
| Feltételezett találgatásos támadás (LDAP) | 2004 | Közepes | Hitelesítő adatokhoz való hozzáférés |
| DCSync-támadás gyanúja (címtárszolgáltatások replikálása) | 2006 | Magas | Adatmegőrzés, hitelesítő adatokhoz való hozzáférés |
| Hálózatleképezési felderítés (DNS) | 2007 | Közepes | Felderítés |
| Aranyjegy-használat gyanúja (titkosítás visszalépés) | 2009 | Közepes | Privilege Escalation, Lateral movement, Persistence |
| Gyanús csontvázkulcs-támadás (titkosítás visszalépése) | 2010 | Közepes | Oldalirányú mozgás, Adatmegőrzés |
| Felhasználó- és IP-címfelderítés (SMB) | 2012 | Közepes | Felderítés |
| Golden Ticket-használat gyanúja (hamis engedélyezési adatok) | 2013 | Magas | Jogosultságok eszkalálása, oldalirányú mozgás, adatmegőrzés |
| Honeytoken tevékenység | 2014 | Közepes | Hitelesítő adatokhoz való hozzáférés, felderítés |
| Személyazonosság-lopás gyanúja (pass-the-hash) | 2017 | Magas | Oldalirányú mozgás |
| Személyazonosság-lopás gyanúja (pass-the-ticket) | 2018 | Magas vagy közepes | Oldalirányú mozgás |
| Távoli kódvégrehajtási kísérlet | 2019 | Közepes | Végrehajtás, kitartás, jogosultságeszkaláció, védelmi kijátszás, oldalirányú mozgás |
| A Data Protection API főkulcsának rosszindulatú kérése | 2020 | Magas | Hitelesítő adatokhoz való hozzáférés |
| Felhasználó- és csoporttagság-felderítés (SAMR) | 2021 | Közepes | Felderítés |
| Aranyjegy-használat gyanúja (időanomália) | 2022 | Magas | Privilege Escalation, Lateral movement, Persistence |
| Feltételezett találgatásos támadás (Kerberos, NTLM) | 2023 | Közepes | Hitelesítő adatokhoz való hozzáférés |
| Gyanús hozzáadások bizalmas csoportokhoz | 2024 | Közepes | Hitelesítő adatokhoz való hozzáférés, adatmegőrzés |
| Gyanús VPN-kapcsolat | 2025 | Közepes | Megőrzés, védelmi kijátszás |
| Gyanús szolgáltatás létrehozása | 2026 | Közepes | Végrehajtás, megőrzés, jogosultságeszkaláció, védelmi kijátszás, oldalirányú mozgás |
| Arany jegy használatának gyanúja (nem létező fiók) | 2027 | Magas | Jogosultságeszkaláció, oldalirányú mozgás, adatmegőrzés |
| DCShadow-támadás gyanúja (tartományvezérlő előléptetése) | 2028 | Magas | Védelmi kijátszás |
| DcShadow-támadás gyanúja (tartományvezérlő replikációs kérése) | 2029 | Magas | Védelmi kijátszás |
| Adatkiszivárgás SMB-en keresztül | 2030 | Magas | Exfiltration, Lateral movement, Command and control |
| Gyanús kommunikáció DNS-en keresztül | 2031 | Közepes | Exfiltration |
| Arany jegy használatának gyanúja (jegyanomália) | 2032 | Magas | Jogosultságeszkaláció, oldalirányú mozgás, adatmegőrzés |
| Feltételezett találgatásos támadás (SMB) | 2033 | Közepes | Oldalirányú mozgás |
| Metasploit hacking keretrendszer feltételezett használata | 2034 | Közepes | Oldalirányú mozgás |
| WannaCry zsarolóvírus-támadás gyanúja | 2035 | Közepes | Oldalirányú mozgás |
| Távoli kódvégrehajtás DNS-en keresztül | 2036 | Közepes | Jogosultságok eszkalálása, oldalirányú mozgás |
| NTLM-továbbítási támadás gyanúja | 2037 | Közepes vagy alacsony, ha aláírt NTLM v2 protokoll használatával figyelték meg | Jogosultságok eszkalálása, oldalirányú mozgás |
| Biztonsági főfelderítés (LDAP) | 2038 | Közepes | Hitelesítő adatokhoz való hozzáférés |
| NTLM-hitelesítéssel való visszaélés gyanúja | 2039 | Közepes | Jogosultságok eszkalálása, oldalirányú mozgás |
| Arany jegy használatának gyanúja (jegyanomália az RBCD használatával) | 2040 | Magas | Kitartás |
| Gyanús kerberos-tanúsítványhasználat | 2047 | Magas | Oldalirányú mozgás |
| Active Directory-attribútumok felderítése (LDAP) | 2210 | Közepes | Felderítés |
| Gyanús SMB-csomagmanipuláció (CVE-2020-0796-os kihasználtság) – (előzetes verzió) | 2406 | Magas | Oldalirányú mozgás |
| Kerberos SPN-kitettség gyanúja (külső azonosító: 2410) | 2410 | Magas | Hitelesítő adatokhoz való hozzáférés |
| Netlogon jogosultságszint-emelési kísérlet gyanúja (CVE-2020-1472-kihasználás) | 2411 | Magas | Jogosultság eszkalációja |
| As-REP pörkölési támadás gyanúja | 2412 | Magas | Hitelesítő adatokhoz való hozzáférés |
| Exchange Server távoli kódfuttatás (CVE-2021-26855) | 2414 | Magas | Oldalirányú mozgás |
| Feltételezett kihasználási kísérlet a Windows Nyomtatásisor-kezelő szolgáltatásban | 2415 | Magas vagy közepes | Oldalirányú mozgás |
| Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül | 2416 | Magas vagy közepes | Oldalirányú mozgás |
| SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 kihasználtság) | 2419 | Magas | Hitelesítő adatokhoz való hozzáférés |
Megjegyzés
A biztonsági riasztások letiltásához forduljon az ügyfélszolgálathoz.