Delen via

Beveiligingswaarschuwingen in Microsoft Defender for Identity

Wat zijn Microsoft Defender for Identity beveiligingswaarschuwingen?

Microsoft Defender for Identity beveiligingswaarschuwingen bieden informatie over de verdachte activiteiten die zijn gedetecteerd door Defender for Identity-sensoren in uw netwerk, en de actoren en computers die bij elke bedreiging betrokken zijn. Lijsten met waarschuwingsmateriaal bevatten directe koppelingen naar de betrokken gebruikers en computers, om uw onderzoeken eenvoudig en direct te maken.

Opmerking

Defender for Identity is niet ontworpen om te fungeren als een controle- of logboekregistratieoplossing die elke bewerking of activiteit vastlegt op de servers waarop de sensor is geïnstalleerd. Het legt alleen de gegevens vast die nodig zijn voor de detectie- en aanbevelingsmechanismen.

De pagina Identiteitswaarschuwingen biedt u signaalverrijking voor meerdere domeinen en mogelijkheden voor geautomatiseerde identiteitsrespons. Het voordeel van het onderzoeken van waarschuwingen met Microsoft Defender XDR is dat Microsoft Defender for Identity waarschuwingen worden gecorreleerd met informatie die is verkregen van elk van de andere producten in de suite. Deze verbeterde waarschuwingen zijn consistent met de andere Microsoft Defender XDR waarschuwingsindelingen die afkomstig zijn van Microsoft Defender voor Office 365 en Microsoft Defender voor Eindpunt.

Waarschuwingen die afkomstig zijn van Defender for Identity activeren Microsoft Defender XDR mogelijkheden voor geautomatiseerd onderzoek en respons (AIR), waaronder het automatisch herstellen van waarschuwingen en het beperken van hulpprogramma's en processen die kunnen bijdragen aan de verdachte activiteit.

Microsoft Defender for Identity waarschuwingen worden momenteel in twee verschillende indelingen weergegeven in de Microsoft Defender XDR portal. Hoewel in de waarschuwingsweergaven mogelijk andere informatie wordt weergegeven, zijn alle waarschuwingen gebaseerd op detecties van Defender for Identity-sensoren. De verschillen in indeling en informatie die worden weergegeven, maken deel uit van een doorlopende overgang naar een uniforme waarschuwingservaring voor Microsoft Defender producten.

Zie Beveiligingswaarschuwingen weergeven en beheren voor meer informatie.

Waarschuwingscategorieën

Defender for Identity-beveiligingswaarschuwingen zijn onderverdeeld in de volgende categorieën of fasen, zoals de fasen in een typische kill chain voor cyberaanvallen. Meer informatie over elke fase, de waarschuwingen die zijn ontworpen om elke aanval te detecteren en hoe u de waarschuwingen kunt gebruiken om uw netwerk te beveiligen met behulp van de volgende koppelingen:

  1. Waarschuwingen voor reconnaissance en detectie
  2. Waarschuwingen voor persistentie en escalatie van bevoegdheden
  3. Waarschuwingen voor toegang tot referenties
  4. Waarschuwingen voor laterale verplaatsing
  5. Andere waarschuwingen

Beveiligingswaarschuwingen toewijzen aan unieke externe id en MITRE ATT&CK Matrix-tactieken

De volgende tabel bevat de toewijzing tussen waarschuwingsnamen, hun bijbehorende unieke externe id's, hun ernst en hun MITRE ATT&CK Matrix-tactiek™. Bij gebruik met scripts of automatisering raadt Microsoft het gebruik van externe waarschuwings-id's aan in plaats van waarschuwingsnamen, omdat alleen externe id's van beveiligingswaarschuwingen permanent zijn en niet kunnen worden gewijzigd.

Naam van beveiligingswaarschuwing Unieke externe id Ernst MITRE ATT&CK Matrix™
Vermoedelijke SID-History injectie 1106 Hoog Escalatie van bevoegdheden
Vermoedelijke overpass-the-hash-aanval (Kerberos) 2002 Gemiddeld Laterale beweging
Verkenning van accountinventarisatie 2003 Gemiddeld Ontdekken
Vermoedelijke Brute Force-aanval (LDAP) 2004 Gemiddeld Toegang tot referenties
Vermoedelijke DCSync-aanval (replicatie van directoryservices) 2006 Hoog Referentietoegang, persistentie
Netwerktoewijzingsverkenning (DNS) 2007 Gemiddeld Ontdekken
Vermoedelijke over-pass-the-hash-aanval (type geforceerde versleuteling) 2008 Gemiddeld Laterale beweging
Verdacht golden ticketgebruik (downgrade van versleuteling) 2009 Gemiddeld Persistentie, escalatie van bevoegdheden, laterale verplaatsing
Suspected Skeleton Key attack (downgrade van versleuteling) 2010 Gemiddeld Persistentie, laterale beweging
Reconnaissance van gebruikers en IP-adressen (SMB) 2012 Gemiddeld Ontdekken
Verdacht Golden Ticket-gebruik (vervalste autorisatiegegevens) 2013 Hoog Toegang tot referenties
Honeytoken-verificatieactiviteit 2014 Gemiddeld Toegang tot referenties, detectie
Vermoedelijke identiteitsdiefstal (pass-the-hash) 2017 Hoog Laterale beweging
Vermoedelijke identiteitsdiefstal (pass-the-ticket) 2018 Hoog of gemiddeld Laterale beweging
Poging om externe code uit te voeren 2019 Gemiddeld Uitvoering, Persistentie, Escalatie van bevoegdheden, Defensieontduiking, Laterale verplaatsing
Schadelijke aanvraag van data protection-API-hoofdsleutel 2020 Hoog Toegang tot referenties
Verkenning van gebruikers- en groepslidmaatschap (SAMR) 2021 Gemiddeld Ontdekken
Verdacht golden ticketgebruik (tijdafwijking) 2022 Hoog Persistentie, escalatie van bevoegdheden, laterale verplaatsing
Vermoedelijke Brute Force-aanval (Kerberos, NTLM) 2023 Gemiddeld Toegang tot referenties
Verdachte toevoegingen aan gevoelige groepen 2024 Gemiddeld Persistentie, toegang tot referenties,
Verdachte VPN-verbinding 2025 Gemiddeld Defensieontduiking, Persistentie
Verdachte service maken 2026 Gemiddeld Uitvoering, Persistentie, Escalatie van bevoegdheden, Defensieontduiking, Laterale beweging
Verdacht golden ticketgebruik (niet-bestaand account) 2027 Hoog Persistentie, escalatie van bevoegdheden, laterale verplaatsing
Verdachte DCShadow-aanval (promotie van domeincontrollers) 2028 Hoog Defensieontduiking
Vermoedelijke DCShadow-aanval (replicatieaanvraag voor domeincontrollers) 2029 Hoog Defensieontduiking
Gegevensexfiltratie via SMB 2030 Hoog Exfiltratie, laterale beweging, opdracht en controle
Verdachte communicatie via DNS 2031 Gemiddeld Exfiltratie
Verdacht golden ticketgebruik (afwijking van ticket) 2032 Hoog Persistentie, escalatie van bevoegdheden, laterale verplaatsing
Verdachte Brute Force-aanval (SMB) 2033 Gemiddeld Laterale beweging
Verdacht gebruik van Metasploit hacking framework 2034 Gemiddeld Laterale beweging
Vermoedelijke WannaCry ransomware-aanval 2035 Gemiddeld Laterale beweging
Uitvoering van externe code via DNS 2036 Gemiddeld Laterale verplaatsing, escalatie van bevoegdheden
Vermoedelijke NTLM Relay-aanval 2037 Gemiddeld of laag als wordt waargenomen met het ondertekende NTLM v2-protocol Laterale verplaatsing, escalatie van bevoegdheden
LDAP (Security Principal Reconnaissance) 2038 Hoog (in geval van oplossingsproblemen of specifiek hulpprogramma gedetecteerd) en gemiddeld Toegang tot referenties
Vermoedelijke manipulatie van NTLM-verificatie 2039 Gemiddeld Laterale verplaatsing, escalatie van bevoegdheden
Verdacht golden ticketgebruik (afwijking van tickets met behulp van RBCD) 2040 Hoog Persistentie
Verdacht gebruik van rogue Kerberos-certificaten 2047 Hoog Laterale beweging
Verdachte Kerberos-overdrachtspoging met behulp van de BronzeBit-methode (CVE-2020-17049-exploitatie) 2048 Gemiddeld Toegang tot referenties
Active Directory-kenmerken reconnaissance (LDAP) 2210 Gemiddeld Ontdekken
Vermoedelijke manipulatie van SMB-pakketten (CVE-2020-0796-exploitatie) 2406 Hoog Laterale beweging
Vermoedelijke kerberos SPN-blootstelling 2410 Hoog Toegang tot referenties
Vermoedelijke poging tot uitbreiding van Netlogon-bevoegdheden (CVE-2020-1472-exploitatie) 2411 Hoog Escalatie van bevoegdheden
Vermoedelijke AS-REP Roasting-aanval 2412 Hoog Toegang tot referenties
Vermoedelijke AD FS DKM-sleutel gelezen 2413 Hoog Toegang tot referenties
Exchange Server externe code-uitvoering (CVE-2021-26855) 2414 Hoog Laterale beweging
Vermoedelijke exploitatiepoging op de Windows Print Spooler-service 2415 Hoog of gemiddeld Laterale beweging
Verdachte netwerkverbinding via Encrypting File System Remote Protocol 2416 Hoog of gemiddeld Laterale beweging
Verdachte Kerberos-ticketaanvraag 2418 Hoog Toegang tot referenties
Verdachte wijziging van een kenmerk sAMNameAccount (CVE-2021-42278 en CVE-2021-42287-exploitatie) 2419 Hoog Toegang tot referenties
Verdachte wijziging van de vertrouwensrelatie van AD FS-server 2420 Gemiddeld Escalatie van bevoegdheden
Verdachte wijziging van een kenmerk dNSHostName (CVE-2022-26923) 2421 Hoog Escalatie van bevoegdheden
Verdachte Kerberos-delegeringspoging door een zojuist gemaakte computer 2422 Hoog Escalatie van bevoegdheden
Verdachte wijziging van het kenmerk Beperkte delegering op basis van resources door een computeraccount 2423 Hoog Escalatie van bevoegdheden
Verificatie van abnormale Active Directory Federation Services (AD FS) met behulp van een verdacht certificaat 2424 Hoog Toegang tot referenties
Verdacht certificaatgebruik via Het Kerberos-protocol (PKINIT) 2425 Hoog Laterale beweging
Vermoedelijke DFSCoerce-aanval met behulp van Distributed File System Protocol 2426 Hoog Toegang tot referenties
Honeytoken-gebruikerskenmerken gewijzigd 2427 Hoog Persistentie
Honeytoken-groepslidmaatschap gewijzigd 2428 Hoog Persistentie
Honeytoken is opgevraagd via LDAP 2429 Laag Ontdekken
Verdachte wijziging van domein AdminSdHolder 2430 Hoog Persistentie
Vermoedelijke accountovername met schaduwreferenties 2431 Hoog Toegang tot referenties
Verdachte certificaataanvraag voor domeincontrollers (ESC8) 2432 Hoog Escalatie van bevoegdheden
Verdachte verwijdering van de certificaatdatabasevermeldingen 2433 Gemiddeld Defensieontduiking
Verdacht uitschakelen van auditfilters van AD CS 2434 Gemiddeld Defensieontduiking
Verdachte wijzigingen in de AD CS-beveiligingsmachtigingen/-instellingen 2435 Gemiddeld Escalatie van bevoegdheden
Account enumeration reconnaissance (LDAP) (preview) 2437 Gemiddeld Accountdetectie, domeinaccount
Wachtwoordwijziging in Directory Services-herstelmodus 2438 Gemiddeld Persistentie, accountmanipulatie
groepsbeleid manipulatie 2440 Gemiddeld Defensieontduiking

Opmerking

Neem contact op met de ondersteuning om beveiligingswaarschuwingen uit te schakelen.

Zie ook