Microsoft Defender for Identity의 보안 경고
이 문서의 내용
Microsoft Defender for Identity 보안 경고는 네트워크의 Defender for Identity 센서에서 감지한 의심스러운 활동과 각 위협에 관련된 행위자 및 컴퓨터에 대해 설명합니다. 경고 증거 목록에는 관련 사용자 및 컴퓨터에 대한 직접 링크가 포함되어 있어 조사를 쉽고 직접적으로 수행할 수 있습니다.
Defender for Identity 보안 경고는 일반적인 사이버 공격 킬 체인에서 볼 수 있는 단계와 같이 다음과 같은 범주 또는 단계로 나뉩니다. 각 단계, 각 공격을 감지하도록 설계된 경고 및 다음 링크를 사용하여 네트워크를 보호하기 위해 경고를 사용하는 방법에 대해 자세히 알아봅니다.
정찰 및 검색 경고 지속성 및 권한 에스컬레이션 경고 자격 증명 액세스 경고 횡적 이동 경고 기타 경고
모든 Defender for Identity 보안 경고의 구조 및 일반적인 구성 요소에 대한 자세한 내용은 보안 경고 이해를 참조 하세요 .
보안 경고 이름 매핑 및 고유한 외부 ID
다음 표에서는 경고 이름, 해당 고유 외부 ID, 심각도 및 MITRE ATT&CK Matrix™ 전술 간의 매핑을 나열합니다. 스크립트 또는 자동화와 함께 사용하는 경우 보안 경고 외부 ID만 영구적이며 변경될 수 없으므로 경고 이름 대신 경고 외부 ID를 사용하는 것이 좋습니다.
외부 ID
보안 경고 이름
고유 외부 ID
심각도
MITRE ATT&CK 행렬™
의심되는 SID 기록 주입 1106
높음
권한 상승
의심되는 고가도로 해시 공격(Kerberos) 2002
중간
수평 이동
계정 열거형 정찰 2003
중간
검색
의심되는 무차별 암호 대입 공격(LDAP) 2004
중간
자격 증명 액세스
의심되는 DCSync 공격(디렉터리 서비스 복제본(replica)) 2006
높음
자격 증명 액세스, 지속성
네트워크 매핑 정찰(DNS) 2007
중간
검색
의심되는 오버 패스-더-해시 공격(강제 암호화 유형) 2008
중간
수평 이동
의심되는 골든 티켓 사용(암호화 다운그레이드) 2009
중간
지속성, 권한 상승, 횡적 이동
의심되는 스켈레톤 키 공격(암호화 다운그레이드) 2010
중간
지속성, 횡적 이동
사용자 및 IP 주소 정찰(SMB) 2012
중간
검색
의심되는 골든 티켓 사용(위조된 권한 부여 데이터) 2013
높음
자격 증명 액세스
Honeytoken 인증 작업 2014
중간
자격 증명 액세스, 검색
의심되는 신원 도용(pass-the-hash) 2017
높음
수평 이동
의심되는 신원 도용(티켓 전달) 2018
높음 또는 보통
수평 이동
원격 코드 실행 시도 2019
중간
실행, 지속성, 권한 상승, 방어 회피, 횡적 이동
Data Protection API 마스터 키의 악의적인 요청 2020
높음
자격 증명 액세스
SAMR(사용자 및 그룹 멤버 자격 정찰) 2021
중간
검색
의심되는 골든 티켓 사용(시간 변칙) 2022
높음
지속성, 권한 상승, 횡적 이동
의심되는 무차별 암호 대입 공격(Kerberos, NTLM) 2023
중간
자격 증명 액세스
중요한 그룹에 의심스러운 추가 2024
중간
지속성, 자격 증명 액세스,
의심스러운 VPN 연결 2025
중간
방어 회피, 지속성
의심스러운 서비스 만들기 2026
중간
실행, 지속성, 권한 상승, 방어 회피, 횡적 이동
의심되는 골든 티켓 사용(존재하지 않는 계정) 2027
높음
지속성, 권한 상승, 횡적 이동
의심되는 DCShadow 공격(수행기본 컨트롤러 승격) 2028
높음
방어 회피
의심되는 DCShadow 공격(do기본 컨트롤러 복제본(replica)tion 요청) 2029
높음
방어 회피
SMB를 통한 데이터 반출 2030
높음
반출, 횡적 이동, 명령 및 제어
DNS를 통한 의심스러운 통신 2031
중간
반출
의심되는 골든 티켓 사용(티켓 변칙) 2032
높음
지속성, 권한 상승, 횡적 이동
의심되는 무차별 암호 대입 공격(SMB) 2033
중간
수평 이동
Metasploit 해킹 프레임워크의 사용 의심 2034
중간
수평 이동
의심되는 WannaCry 랜섬웨어 공격 2035
중간
수평 이동
DNS를 통해 원격 코드 실행 2036
중간
횡적 이동, 권한 상승
의심되는 NTLM 릴레이 공격 2037
서명된 NTLM v2 프로토콜을 사용하여 관찰되는 경우 중간 또는 낮음
횡적 이동, 권한 상승
보안 주체 정찰(LDAP) 2038
중간
자격 증명 액세스
의심되는 NTLM 인증 변조 2039
중간
횡적 이동, 권한 상승
의심되는 골든 티켓 사용(RBCD를 사용한 티켓 변칙) 2040
높음
지속성
의심스러운 악성 Kerberos 인증서 사용 2047
높음
수평 이동
BronzeBit 메서드를 사용한 의심스러운 Kerberos 위임 시도(CVE-2020-17049 악용) 2048
중간
자격 증명 액세스
LDAP(Active Directory 특성 정찰) 2210
중간
검색
의심되는 SMB 패킷 조작(CVE-2020-0796 악용) 2406
높음
수평 이동
의심되는 Kerberos SPN 노출 2410
높음
자격 증명 액세스
의심되는 Netlogon 권한 상승 시도(CVE-2020-1472 악용) 2411
높음
권한 상승
AS-REP 로스팅 공격 의심 2412
높음
자격 증명 액세스
의심되는 AD FS DKM 키 읽기 2413
높음
자격 증명 액세스
Exchange Server 원격 코드 실행(CVE-2021-26855) 2414
높음
수평 이동
Windows Print Spooler 서비스에서 악용 시도 의심됨 2415
높음 또는 보통
수평 이동
파일 시스템 원격 프로토콜 암호화를 통해 의심스러운 네트워크 연결 2416
높음 또는 보통
수평 이동
의심스러운 Kerberos 티켓 요청이 의심됨 2418
높음
자격 증명 액세스
sAMNameAccount 특성의 의심스러운 수정(CVE-2021-42278 및 CVE-2021-42287 악용) 2419
높음
자격 증명 액세스
AD FS 서버의 트러스트 관계가 의심스러운 수정 2420
중간
권한 상승
dNSHostName 특성의 의심스러운 수정(CVE-2022-26923) 2421
높음
권한 상승
새로 만든 컴퓨터의 의심스러운 Kerberos 위임 시도 2422
높음
권한 상승
컴퓨터 계정에 의한 리소스 기반 제한 위임 특성의 의심스러운 수정 2423
높음
권한 상승
의심스러운 인증서를 사용한 비정상적인 AD FS(Active Directory Federation Services) 인증 2424
높음
자격 증명 액세스
Kerberos 프로토콜을 통해 의심스러운 인증서 사용량(PKINIT) 2425
높음
수평 이동
분산 파일 시스템 프로토콜을 사용한 의심되는 DFSCoerce 공격 2426
높음
자격 증명 액세스
Honeytoken 사용자 특성이 수정됨 2427
높음
지속성
Honeytoken 그룹 멤버 자격이 변경됨 2428
높음
지속성
LDAP를 통해 Honeytoken을 쿼리했습니다. 2429
낮음
검색
do기본 관리SdHolder의 의심스러운 수정 2430
높음
지속성
섀도 자격 증명을 사용하여 의심되는 계정 인수 2431
높음
자격 증명 액세스
의심스러운 Do기본 컨트롤러 인증서 요청(ESC8) 2432
높음
권한 상승
인증서 데이터베이스 항목의 의심스러운 삭제 2433
중간
방어 회피
AD CS 감사 필터의 의심스러운 사용 안 함 2434
중간
방어 회피
AD CS 보안 권한/설정에 대한 의심스러운 수정 2435
중간
권한 상승
LDAP(계정 열거형 정찰) (미리 보기)2437
중간
계정 검색, Do기본 계정
디렉터리 서비스 복원 모드 암호 변경 (미리 보기)2438
중간
지속성, 계정 조작
HONEYtoken은 SAM-R을 통해 쿼리되었습니다. 2,439
낮음
검색
참고 항목
보안 경고를 사용하지 않도록 설정하려면 지원에 문의하세요.
참고 항목