Condividi tramite


Avvisi di sicurezza in Microsoft Defender per identità

Nota

È possibile accedere all'esperienza descritta in questa pagina come https://security.microsoft.com parte di Microsoft Defender XDR.

Microsoft Defender per identità gli avvisi di sicurezza spiegano le attività sospette rilevate dai sensori defender per identità nella rete e gli attori e i computer coinvolti in ogni minaccia. Gli elenchi di evidenze degli avvisi contengono collegamenti diretti agli utenti e ai computer coinvolti, per semplificare e indirizzare le indagini.

Gli avvisi di sicurezza di Defender per identità sono suddivisi in categorie o fasi seguenti, come le fasi viste in una tipica kill chain di attacchi informatici. Altre informazioni su ogni fase, sugli avvisi progettati per rilevare ogni attacco e su come usare gli avvisi per proteggere la rete usando i collegamenti seguenti:

  1. Avvisi di ricognizione e individuazione
  2. Avvisi di escalation dei privilegi e persistenza
  3. Avvisi di accesso alle credenziali
  4. Avvisi di spostamento laterale
  5. Altri avvisi

Per altre informazioni sulla struttura e sui componenti comuni di tutti gli avvisi di sicurezza di Defender per identità, vedere Informazioni sugli avvisi di sicurezza.

Mapping dei nomi degli avvisi di sicurezza e ID esterni univoci

La tabella seguente elenca il mapping tra i nomi degli avvisi, i corrispondenti ID esterni univoci, la gravità e la tattica MITRE ATT&CK Matrix™. Se usato con script o automazione, Microsoft consiglia l'uso di ID esterni di avviso al posto dei nomi di avviso, in quanto solo gli ID esterni degli avvisi di sicurezza sono permanenti e non soggetti a modifiche.

ID esterni

Nome avviso di sicurezza ID esterno univoco Gravità Matrice™ MITRE ATT&CK
Sospetto inserimento della cronologia SID 1106 Alto Escalation dei privilegi
Sospetto attacco overpass-the-hash (Kerberos) 2002 Medio Spostamento laterale
Ricognizione dell'enumerazione account 2003 Medio Individuazione
Sospetto attacco di forza bruta (LDAP) 2004 Medio Accesso tramite credenziali
Sospetto attacco DCSync (replica di servizi directory) 2006 Alto Accesso alle credenziali, persistenza
Ricognizione mapping di rete (DNS) 2007 Medio Individuazione
Sospetto attacco over-pass-the-hash (tipo di crittografia forzata) 2008 Medio Spostamento laterale
Sospetto utilizzo di Golden Ticket (downgrade della crittografia) 2009 Medio Persistenza, escalation dei privilegi, spostamento laterale
Sospetto attacco Skeleton Key (downgrade della crittografia) 2010 Medio Persistenza, spostamento laterale
Ricognizione di indirizzi IP e utente (SMB) 2012 Medio Individuazione
Sospetto utilizzo di Golden Ticket (dati di autorizzazione contraffatti) 2013 Alto Accesso tramite credenziali
Attività di autenticazione honeytoken 2014 Medio Accesso alle credenziali, individuazione
Sospetto furto di identità (pass-the-hash) 2017 Alto Spostamento laterale
Sospetto furto di identità (pass-the-ticket) 2018 Alto o Medio Spostamento laterale
Tentativo di esecuzione del codice remoto 2019 Medio Esecuzione, persistenza, escalation dei privilegi, evasione della difesa, movimento laterale
Richiesta dannosa della chiave master dell'API protezione dati 2020 Alto Accesso tramite credenziali
Ricognizione dell'appartenenza a utenti e gruppi (SAMR) 2021 Medio Individuazione
Sospetto utilizzo di Golden Ticket (anomalia temporale) 2022 Alto Persistenza, escalation dei privilegi, spostamento laterale
Sospetto attacco di forza bruta (Kerberos, NTLM) 2023 Medio Accesso tramite credenziali
Aggiunte sospette a gruppi sensibili 2024 Medio Persistenza, accesso alle credenziali,
Connessione VPN sospetta 2025 Medio Evasione della difesa, persistenza
Creazione di servizi sospetti 2026 Medio Esecuzione, persistenza, escalation dei privilegi, evasione della difesa, movimento laterale
Sospetto utilizzo di Golden Ticket (account inesistente) 2027 Alto Persistenza, escalation dei privilegi, spostamento laterale
Sospetto attacco DCShadow (promozione del controller di dominio) 2028 Alto Evasione delle difese
Sospetto attacco DCShadow (richiesta di replica del controller di dominio) 2029 Alto Evasione delle difese
Esfiltrazione di dati su SMB 2030 Alto Esfiltrazione, spostamento laterale, comando e controllo
Comunicazione sospetta tramite DNS 2031 Medio Esfiltrazione
Sospetto utilizzo di Golden Ticket (anomalia del ticket) 2032 Alto Persistenza, escalation dei privilegi, spostamento laterale
Sospetto attacco di forza bruta (SMB) 2033 Medio Spostamento laterale
Sospetto uso di Metasploit hacking framework 2034 Medio Spostamento laterale
Sospetto attacco ransomware WannaCry 2035 Medio Spostamento laterale
Esecuzione di codice remoto su DNS 2036 Medio Spostamento laterale, escalation dei privilegi
Sospetto attacco di inoltro NTLM 2037 Medio o Basso se osservato usando il protocollo NTLM v2 firmato Spostamento laterale, escalation dei privilegi
Ricognizione dell'entità di sicurezza (LDAP) 2038 Medio Accesso tramite credenziali
Sospetta manomissione dell'autenticazione NTLM 2039 Medio Spostamento laterale, escalation dei privilegi
Sospetto utilizzo di Golden Ticket (anomalia del ticket con RBCD) 2040 Alto Persistenza
Sospetto utilizzo di certificati Kerberos non autorizzati 2047 Alto Spostamento laterale
Tentativo di delega Kerberos sospetto con il metodo BronzeBit (EXPLOIT CVE-2020-17049) 2048 Medio Accesso tramite credenziali
Ricognizione degli attributi di Active Directory (LDAP) 2210 Medio Individuazione
Sospetta manipolazione dei pacchetti SMB (exploit CVE-2020-0796) 2406 Alto Spostamento laterale
Sospetto esposizione del nome SPN Kerberos 2410 Alto Accesso tramite credenziali
Sospetto tentativo di elevazione dei privilegi Netlogon (CVE-2020-1472 exploit) 2411 Alto Escalation dei privilegi
Sospetto attacco di tostatura AS-REP 2412 Alto Accesso tramite credenziali
Sospetto lettura della chiave DKM di AD FS 2413 Alto Accesso tramite credenziali
Esecuzione di codice remoto di Exchange Server (CVE-2021-26855) 2414 Alto Spostamento laterale
Sospetto tentativo di sfruttamento nel servizio Spooler di stampa Windows 2415 Alto o Medio Spostamento laterale
Connessione di rete sospetta tramite crittografia del protocollo remoto del file system 2416 Alto o Medio Spostamento laterale
Sospetta richiesta di ticket Kerberos sospetta 2418 Alto Accesso tramite credenziali
Modifica sospetta di un attributo sAMNameAccount (CVE-2021-42278 e CVE-2021-42287 exploit) 2419 Alto Accesso tramite credenziali
Modifica sospetta della relazione di trust del server AD FS 2420 Medio Escalation dei privilegi
Modifica sospetta di un attributo dNSHostName (CVE-2022-26923) 2421 Alto Escalation dei privilegi
Tentativo di delega Kerberos sospetto da parte di un computer appena creato 2422 Alto Escalation dei privilegi
Modifica sospetta dell'attributo delega vincolata basata su risorse da un account del computer 2423 Alto Escalation dei privilegi
Autenticazione adnomala di Active Directory Federation Services (AD FS) con un certificato sospetto 2424 Alto Accesso tramite credenziali
Utilizzo sospetto del certificato tramite il protocollo Kerberos (PKINIT) 2425 Alto Spostamento laterale
Sospetto attacco DFSCoerce tramite il protocollo Distributed File System 2426 Alto Accesso tramite credenziali
Attributi utente honeytoken modificati 2427 Alto Persistenza
Appartenenza al gruppo honeytoken modificata 2428 Alto Persistenza
Il honeytoken è stato sottoposto a query tramite LDAP 2429 Basso Individuazione
Modifica sospetta del dominio Amministrazione SdHolder 2430 Alto Persistenza
Sospetto acquisizione dell'account tramite credenziali shadow 2431 Alto Accesso tramite credenziali
Richiesta di certificato del controller di dominio sospetta (ESC8) 2432 Alto Escalation dei privilegi
Eliminazione sospetta delle voci del database del certificato 2433 Medio Evasione delle difese
Disabilitazione sospetta dei filtri di controllo di Servizi certificati Active Directory 2434 Medio Evasione delle difese
Modifiche sospette alle autorizzazioni/impostazioni di sicurezza di Servizi certificati Active Directory 2435 Medio Escalation dei privilegi
Ricognizione dell'enumerazione account (LDAP) (anteprima) 2437 Medio Individuazione account, account di dominio
Modifica della password in modalità ripristino servizi directory 2438 Medio Persistenza, manipolazione dell'account
Honeytoken è stato sottoposto a query tramite SAM-R 2439 Basso Individuazione
Manomissione di Criteri di gruppo 2440 Medio Evasione delle difese

Nota

Per disabilitare qualsiasi avviso di sicurezza, contattare il supporto tecnico.

Vedi anche