Share via


Beveiligingswaarschuwingen in Microsoft Defender for Identity

Notitie

De ervaring die op deze pagina wordt beschreven, kan worden geopend https://security.microsoft.com als onderdeel van Microsoft Defender XDR.

Microsoft Defender for Identity-beveiligingswaarschuwingen verklaren de verdachte activiteiten die door Defender for Identity-sensoren in uw netwerk zijn gedetecteerd, en de actoren en computers die betrokken zijn bij elke bedreiging. Lijsten met waarschuwingsinformatie bevatten directe koppelingen naar de betrokken gebruikers en computers om uw onderzoeken eenvoudig en direct te maken.

Defender for Identity-beveiligingswaarschuwingen zijn onderverdeeld in de volgende categorieën of fasen, zoals de fasen die worden gezien in een typische kill chain voor cyberaanvallen. Meer informatie over elke fase, de waarschuwingen die zijn ontworpen om elke aanval te detecteren en hoe u de waarschuwingen gebruikt om uw netwerk te beveiligen met behulp van de volgende koppelingen:

  1. Verkennings- en detectiewaarschuwingen
  2. Waarschuwingen voor escalatie van persistentie en bevoegdheden
  3. Waarschuwingen voor toegang tot referenties
  4. Waarschuwingen voor laterale verplaatsing
  5. Andere waarschuwingen

Zie Beveiligingswaarschuwingen begrijpen voor meer informatie over de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen.

Naamtoewijzing van beveiligingswaarschuwingen en unieke externe id's

De volgende tabel bevat de toewijzing tussen waarschuwingsnamen, de bijbehorende unieke externe id's, de ernst en de MITRE ATT&CK Matrix-tactiek™. Bij gebruik met scripts of automatisering raadt Microsoft aan om externe waarschuwings-id's te gebruiken in plaats van waarschuwingsnamen, omdat alleen externe id's van beveiligingswaarschuwingen permanent zijn en niet onderhevig zijn aan wijzigingen.

Externe id's

Naam van beveiligingswaarschuwing Unieke externe id Ernst MITRE ATT&CK-matrix™
Verdachte SID-Geschiedenisinjectie 1106 Hoog Escalatie van bevoegdheden
Verdachte overpass-the-hash-aanval (Kerberos) 2002 Gemiddeld Zijwaartse beweging
Reconnaissance van account-inventarisatie 2003 Gemiddeld Detectie
Verdachte brute force-aanval (LDAP) 2004 Gemiddeld Toegang tot referenties
Verdachte DCSync-aanval (replicatie van adreslijstservices) 2006 Hoog Referentietoegang, persistentie
Reconnaissance voor netwerktoewijzing (DNS) 2007 Gemiddeld Detectie
Verdachte over-pass-the-hash-aanval (geforceerd versleutelingstype) 2008 Gemiddeld Zijwaartse beweging
Verdacht Golden Ticket-gebruik (versleutelings downgrade) 2009 Gemiddeld Persistentie, Escalatie van bevoegdheden, laterale beweging
Verdachte Skeleton Key-aanval (downgrade van versleuteling) 2010 Gemiddeld Persistentie, laterale beweging
Reconnaissance van gebruikers- en IP-adressen (SMB) 2012 Gemiddeld Detectie
Verdacht Golden Ticket-gebruik (vervalste autorisatiegegevens) 2013 Hoog Toegang tot referenties
Honeytoken-verificatieactiviteit 2014 Gemiddeld Toegang tot referenties, detectie
Vermoedelijke identiteitsdiefstal (pass-the-hash) 2017 Hoog Zijwaartse beweging
Vermoedelijke identiteitsdiefstal (pass-the-ticket) 2018 Hoog of gemiddeld Zijwaartse beweging
Uitvoeringspoging voor externe code 2019 Gemiddeld Uitvoering, Persistentie, Privilege-escalatie, Verdedigingsontduiking, Laterale beweging
Schadelijke aanvraag van de hoofdsleutel van de Data Protection-API 2020 Hoog Toegang tot referenties
Reconnaissance voor gebruikers- en groepslidmaatschappen (SAMR) 2021 Gemiddeld Detectie
Verdacht Golden Ticket-gebruik (tijdafwijking) 2022 Hoog Persistentie, Escalatie van bevoegdheden, laterale beweging
Verdachte Brute Force-aanval (Kerberos, NTLM) 2023 Gemiddeld Toegang tot referenties
Verdachte toevoegingen aan gevoelige groepen 2024 Gemiddeld Persistentie, referentietoegang,
Verdachte VPN-verbinding 2025 Gemiddeld Ontduiking, persistentie
Suspicious service creation 2026 Gemiddeld Uitvoering, Persistentie, Privilege Escalatie, Verdedigingsontduiking, Laterale beweging
Verdacht Golden Ticket-gebruik (niet-bestaand account) 2027 Hoog Persistentie, Escalatie van bevoegdheden, laterale beweging
Verdachte DCShadow-aanval (promotie van domeincontroller) 2028 Hoog Verdedigingsontduiking
Verdachte DCShadow-aanval (replicatieaanvraag voor domeincontroller) 2029 Hoog Verdedigingsontduiking
Gegevensexfiltratie via SMB 2030 Hoog Exfiltratie, laterale verplaatsing, opdracht en controle
Verdachte communicatie via DNS 2031 Gemiddeld Exfiltration (Exfiltratie)
Verdacht Golden Ticket-gebruik (afwijking van ticket) 2032 Hoog Persistentie, Escalatie van bevoegdheden, laterale beweging
Verdachte Brute Force-aanval (SMB) 2033 Gemiddeld Zijwaartse beweging
Verdacht gebruik van metasploit-hackframework 2034 Gemiddeld Zijwaartse beweging
Verdachte WannaCry ransomware-aanval 2035 Gemiddeld Zijwaartse beweging
Uitvoering van externe code via DNS 2036 Gemiddeld Laterale verplaatsing, escalatie van bevoegdheden
Vermoedelijke NTLM Relay-aanval 2037 Gemiddeld of Laag als waargenomen met het ondertekende NTLM v2-protocol Laterale verplaatsing, escalatie van bevoegdheden
Verkenning van beveiligingsprincipaal (LDAP) 2038 Gemiddeld Toegang tot referenties
Verdachte manipulatie van NTLM-verificatie 2039 Gemiddeld Laterale verplaatsing, escalatie van bevoegdheden
Verdacht Golden Ticket-gebruik (ticketafwijking met RBCD) 2040 Hoog Persistentie
Verdacht gebruik van rogue Kerberos-certificaten 2047 Hoog Zijwaartse beweging
Verdachte Kerberos-delegatiepoging met behulp van de BronzeBit-methode (CVE-2020-17049-exploitatie) 2048 Gemiddeld Toegang tot referenties
Reconnaissance van Active Directory-kenmerken (LDAP) 2210 Gemiddeld Detectie
Verdachte SMB-pakketmanipulatie (CVE-2020-0796-exploitatie) 2406 Hoog Zijwaartse beweging
Verdachte Kerberos SPN-blootstelling 2410 Hoog Toegang tot referenties
Verdachte onrechtmatige uitbreiding van netlogon-bevoegdheden (CVE-2020-1472-exploitatie) 2411 Hoog Escalatie van bevoegdheden
Vermoedelijke AS-REP-brandaanval 2412 Hoog Toegang tot referenties
Verdachte DKM-sleutel van AD FS gelezen 2413 Hoog Toegang tot referenties
Uitvoering van externe code voor Exchange Server (CVE-2021-26855) 2414 Hoog Zijwaartse beweging
Verdachte exploitatiepoging in Windows Print Spooler-service 2415 Hoog of gemiddeld Zijwaartse beweging
Verdachte netwerkverbinding via Encrypting File System Remote Protocol 2416 Hoog of gemiddeld Zijwaartse beweging
Verdachte Kerberos-ticketaanvraag 2418 Hoog Toegang tot referenties
Verdachte wijziging van een kenmerk sAMNameAccount (CVE-2021-42278 en CVE-2021-42287-exploitatie) 2419 Hoog Toegang tot referenties
Verdachte wijziging van de vertrouwensrelatie van AD FS-server 2420 Gemiddeld Escalatie van bevoegdheden
Verdachte wijziging van een dNSHostName-kenmerk (CVE-2022-26923) 2421 Hoog Escalatie van bevoegdheden
Verdachte Kerberos-delegeringspoging door een zojuist gemaakte computer 2422 Hoog Escalatie van bevoegdheden
Suspicious modification of the Resource Based Constrained Delegation attribute by a machine account (Verdachte wijziging van het kenmerk Beperkte overdracht op basis van resources door een computeraccount) 2423 Hoog Escalatie van bevoegdheden
Abnormale AD FS-verificatie (Active Directory Federation Services) met behulp van een verdacht certificaat 2424 Hoog Toegang tot referenties
Verdacht certificaatgebruik via Het Kerberos-protocol (PKINIT) 2425 Hoog Zijwaartse beweging
Vermoedelijke DFSCoerce-aanval met behulp van Distributed File System Protocol 2426 Hoog Toegang tot referenties
Honeytoken-gebruikerskenmerken gewijzigd 2427 Hoog Persistentie
Honeytoken-groepslidmaatschap is gewijzigd 2428 Hoog Persistentie
Honeytoken is opgevraagd via LDAP 2429 Beperkt Detectie
Suspicious modification of domain Beheer SdHolder (Verdachte wijziging van domein Beheer SdHolder) 2430 Hoog Persistentie
Verdachte accountovername met behulp van schaduwreferenties 2431 Hoog Toegang tot referenties
Verdachte domeincontrollercertificaataanvraag (ESC8) 2432 Hoog Escalatie van bevoegdheden
Verdachte verwijdering van de certificaatdatabasevermeldingen 2433 Gemiddeld Verdedigingsontduiking
Suspicious disable of audit filters of AD CS (Verdachte uitschakelen van controlefilters van AD 2434 Gemiddeld Verdedigingsontduiking
Verdachte wijzigingen in de AD CS-beveiligingsmachtigingen/-instellingen 2435 Gemiddeld Escalatie van bevoegdheden
Verkenning van accounts (LDAP) (preview) 2437 Gemiddeld Accountdetectie, domeinaccount
Wachtwoordwijziging in de modus Herstelmodus van Directory Services 2438 Gemiddeld Persistentie, accountmanipulatie
Honeytoken is opgevraagd via SAM-R 2439 Beperkt Detectie
Groepsbeleid knoeien 2440 Gemiddeld Verdedigingsontduiking

Notitie

Als u een beveiligingswaarschuwing wilt uitschakelen, neemt u contact op met de ondersteuning.

Zie ook