Pemberitahuan keamanan di Microsoft Defender untuk Identitas

Catatan

Pengalaman yang dijelaskan di halaman ini dapat diakses sebagai https://security.microsoft.com bagian dari Pertahanan Microsoft XDR.

Microsoft Defender untuk Identitas pemberitahuan keamanan menjelaskan aktivitas mencurigakan yang terdeteksi oleh sensor Defender for Identity di jaringan Anda, serta aktor dan komputer yang terlibat dalam setiap ancaman. Daftar bukti pemberitahuan berisi tautan langsung ke pengguna dan komputer yang terlibat, untuk membantu mempermudah dan mengarahkan investigasi Anda.

Pemberitahuan keamanan Defender for Identity dibagi menjadi kategori atau fase berikut, seperti fase yang terlihat dalam rantai pembunuhan serangan cyber yang khas. Pelajari selengkapnya tentang setiap fase, pemberitahuan yang dirancang untuk mendeteksi setiap serangan, dan cara menggunakan pemberitahuan untuk membantu melindungi jaringan Anda menggunakan tautan berikut:

1. Pemberitahuan pengintaian dan penemuan
2. Peringatan persistensi dan eskalasi hak istimewa
3. Pemberitahuan akses kredensial
4. Pemberitahuan gerakan lateral
5. Pemberitahuan lainnya

Untuk mempelajari selengkapnya tentang struktur dan komponen umum semua pemberitahuan keamanan Defender for Identity, lihat Memahami pemberitahuan keamanan.

Pemetaan nama pemberitahuan keamanan dan ID eksternal yang unik

Tabel berikut mencantumkan pemetaan antara nama pemberitahuan, ID eksternal unik yang sesuai, tingkat keparahannya, dan taktik MITRE ATT&CK Matrix™ mereka. Saat digunakan dengan skrip atau otomatisasi, Microsoft merekomendasikan penggunaan ID eksternal pemberitahuan sebagai pengganti nama pemberitahuan, karena hanya ID eksternal pemberitahuan keamanan yang permanen, dan tidak dapat berubah.

ID Eksternal

Nama pemberitahuan keamanan	ID eksternal unik	Tingkat keparahan	MITRE ATT&CK Matrix™
Injeksi SID-History yang Dicurigai	1106	Sangat Penting	Eskalasi Hak Istimewa
Dugaan serangan overpass-the-hash (Kerberos)	2002	Medium	Gerakan lateral
Pengintaian enumerasi akun	2003	Medium	Penemuan
Diduga serangan Brute Force (LDAP)	2004	Medium	Akses info masuk
Dugaan serangan DCSync (replikasi layanan direktori)	2006	Sangat Penting	Akses kredensial, Persistensi
Pengintaian pemetaan jaringan (DNS)	2007	Medium	Penemuan
Dugaan serangan over-pass-the-hash (jenis enkripsi paksa)	2008	Medium	Gerakan lateral
Dugaan penggunaan Golden Ticket (enkripsi diturunkan)	2009	Medium	Persistensi, Eskalasi Hak Istimewa, Gerakan Lateral
Dugaan serangan Skeleton Key (enkripsi diturunkan)	2010	Medium	Persistensi, gerakan Lateral
Pengintaian alamat PENGGUNA dan IP (SMB)	2012	Medium	Penemuan
Dugaan penggunaan Golden Ticket (data otorisasi yang dipalsukan)	2013	Sangat Penting	Akses info masuk
Aktivitas autentikasi Honeytoken	2014	Medium	Akses kredensial, Penemuan
Dugaan pencurian identitas (pass-the-hash)	2017	Sangat Penting	Gerakan lateral
Dugaan pencurian identitas (pass-the-ticket)	2018	Tinggi atau Sedang	Gerakan lateral
Upaya eksekusi kode jarak jauh	2019	Medium	Eksekusi, Persistensi, Eskalasi Hak Istimewa, Penggelembungan Pertahanan, Gerakan lateral
Permintaan berbahaya kunci master API Perlindungan Data	2020	Sangat Penting	Akses info masuk
Pengintaian keanggotaan Pengguna dan Grup (SAMR)	2021	Medium	Penemuan
Dugaan penggunaan Golden Ticket (anomali waktu)	2022	Sangat Penting	Persistensi, Eskalasi Hak Istimewa, Gerakan Lateral
Dugaan serangan Brute Force (Kerberos, NTLM)	2023	Medium	Akses info masuk
Penambahan mencurigakan untuk grup sensitif	2024	Medium	Persistensi, Akses kredensial,
Koneksi VPN yang mencurigakan	2025	Medium	Penghancuran pertahanan, Persistensi
Pembuatan layanan yang mencurigakan	2026	Medium	Eksekusi, Persistensi, Eskalasi Hak Istimewa, Penggelembungan Pertahanan, Gerakan Lateral
Dugaan penggunaan Golden Ticket (akun tidak ada)	2027	Sangat Penting	Persistensi, Eskalasi Hak Istimewa, Gerakan Lateral
Dugaan serangan DCShadow (promosi pengendali domain)	2028	Sangat Penting	Penghancutan pertahanan
Serangan DCShadow yang dicurigai (permintaan replikasi pengendali domain)	2029	Sangat Penting	Penghancutan pertahanan
Penyelundupan data melalui SMB	2030	Sangat Penting	Eksfiltrasi, gerakan Lateral, Perintah dan kontrol
Komunikasi mencurigakan melalui DNS	2031	Medium	Penyelundupan
Dugaan penggunaan Golden Ticket (anomali tiket)	2032	Sangat Penting	Persistensi, Eskalasi Hak Istimewa, Gerakan Lateral
Diduga serangan Brute Force (SMB)	2033	Medium	Gerakan lateral
Dugaan penggunaan kerangka kerja peretasan Metasploit	2034	Medium	Gerakan lateral
Dugaan serangan ransomware WannaCry	2035	Medium	Gerakan lateral
Eksekusi kode jarak jauh melalui DNS	2036	Medium	Gerakan lateral, Eskalasi hak istimewa
Dugaan serangan relai NTLM	2037	Sedang atau Rendah jika diamati menggunakan protokol NTLM v2 yang ditandatangani	Gerakan lateral, Eskalasi hak istimewa
Pengintaian utama keamanan (LDAP)	2038	Medium	Akses info masuk
Dugaan perusakan autentikasi NTLM	2039	Medium	Gerakan lateral, Eskalasi hak istimewa
Dugaan penggunaan Golden Ticket (anomali tiket menggunakan RBCD)	2040	Sangat Penting	Persistensi
Diduga nakal penggunaan sertifikat Kerberos	2047	Sangat Penting	Gerakan lateral
Upaya delegasi Kerberos yang mencurigakan menggunakan metode BronzeBit (eksploitasi CVE-2020-17049)	2048	Medium	Akses info masuk
Pengintaian atribut Direktori Aktif (LDAP)	2210	Medium	Penemuan
Dugaan manipulasi paket SMB (eksploitasi CVE-2020-0796)	2406	Sangat Penting	Gerakan lateral
Dugaan paparan SPN Kerberos	2410	Sangat Penting	Akses info masuk
Dugaan upaya elevasi hak istimewa Netlogon (eksploitasi CVE-2020-1472)	2411	Sangat Penting	Eskalasi Hak Istimewa
Dicurigai serangan AS-REP Roasting	2412	Sangat Penting	Akses info masuk
Dugaan kunci AD FS DKM dibaca	2413	Sangat Penting	Akses info masuk
Server Exchange Eksekusi Kode Jarak Jauh (CVE-2021-26855)	2414	Sangat Penting	Gerakan lateral
Dugaan upaya eksploitasi pada layanan Windows Print Spooler	2415	Tinggi atau Sedang	Gerakan lateral
Koneksi jaringan yang mencurigakan melalui Mengenkripsi Protokol Jarak Jauh Sistem File	2416	Tinggi atau Sedang	Gerakan lateral
Mencurigakan permintaan tiket Kerberos	2418	Sangat Penting	Akses info masuk
Modifikasi mencurigakan dari atribut sAMNameAccount (eksploitasi CVE-2021-42278 dan CVE-2021-42287)	2419	Sangat Penting	Akses info masuk
Modifikasi mencurigakan dari hubungan kepercayaan server Layanan Federasi Direktori Aktif	2420	Medium	Eskalasi Hak Istimewa
Modifikasi mencurigakan dari atribut dNSHostName (CVE-2022-26923)	2421	Sangat Penting	Eskalasi Hak Istimewa
Upaya delegasi Kerberos yang mencurigakan oleh komputer yang baru dibuat	2422	Sangat Penting	Eskalasi Hak Istimewa
Modifikasi mencurigakan dari atribut Delegasi yang Dibatasi Berbasis Sumber Daya oleh akun komputer	2423	Sangat Penting	Eskalasi Hak Istimewa
Autentikasi Abnormal Active Directory Federation Services (AD FS) menggunakan sertifikat yang mencurigakan	2424	Sangat Penting	Akses info masuk
Penggunaan sertifikat mencurigakan melalui protokol Kerberos (PKINIT)	2425	Sangat Penting	Gerakan lateral
Dugaan serangan DFSCoerce menggunakan Protokol Sistem File Terdistribusi	2426	Sangat Penting	Akses info masuk
Atribut pengguna Honeytoken dimodifikasi	2427	Sangat Penting	Persistensi
Keanggotaan grup Honeytoken berubah	2428	Sangat Penting	Persistensi
Honeytoken dikueri melalui LDAP	2429	Kurang Penting	Penemuan
Modifikasi mencurigakan domain AdminSdHolder	2430	Sangat Penting	Persistensi
Dugaan pengamanan akun menggunakan kredensial bayangan	2431	Sangat Penting	Akses info masuk
Permintaan sertifikat Pengendali Domain Mencurigakan (ESC8)	2432	Sangat Penting	Eskalasi hak istimewa
Penghapusan entri database sertifikat yang mencurigakan	2433	Medium	Penghancutan pertahanan
Nonaktifkan filter audit AD CS yang mencurigakan	2434	Medium	Penghancutan pertahanan
Modifikasi mencurigakan pada izin/pengaturan keamanan AD CS	2435	Medium	Eskalasi hak istimewa
Pengintaian Enumerasi Akun (LDAP) (Pratinjau)	2437	Medium	Penemuan Akun, Akun Domain
Perubahan Kata Sandi Mode Pemulihan Layanan Direktori (Pratinjau)	2438	Medium	Persistensi, Manipulasi Akun
Honeytoken dikueri melalui SAM-R	2439	Kurang Penting	Penemuan

Catatan

Untuk menonaktifkan pemberitahuan keamanan apa pun, hubungi dukungan.

Lihat Juga

• Bekerja dengan pemberitahuan keamanan
• Memahami pemberitahuan keamanan
• Lihat forum Defender for Identity!