Inzicht in beveiligingswaarschuwingen
Microsoft Defender for Identity-beveiligingswaarschuwingen leggen uit in duidelijke taal en afbeeldingen, welke verdachte activiteiten zijn geïdentificeerd op uw netwerk en de actoren en computers die betrokken zijn bij de bedreigingen. Waarschuwingen worden beoordeeld op ernst, met kleurcodering, zodat ze eenvoudig visueel kunnen worden gefilterd en georganiseerd op bedreigingsfase. Elke waarschuwing is ontworpen om u te helpen snel te begrijpen wat er in uw netwerk gebeurt. Lijsten met waarschuwingsinformatie bevatten directe koppelingen naar de betrokken gebruikers en computers om uw onderzoeken eenvoudig en direct te maken.
In dit artikel leert u de structuur van Defender for Identity-beveiligingswaarschuwingen en hoe u deze kunt gebruiken.
- Structuur van beveiligingswaarschuwingen
- Classificaties van beveiligingswaarschuwingen
- Beveiligingswaarschuwingscategorieën
- Onderzoek naar geavanceerde beveiligingswaarschuwingen
- Gerelateerde entiteiten
- Defender for Identity en NNR (Netwerknaamomzetting)
Structuur van beveiligingswaarschuwingen
Elke Defender for Identity-beveiligingswaarschuwing bevat een waarschuwingsverhaal. Dit is de keten van gebeurtenissen die betrekking hebben op deze waarschuwing in chronologische volgorde en andere belangrijke informatie met betrekking tot de waarschuwing.
Op de waarschuwingspagina kunt u het volgende doen:
Waarschuwing beheren: wijzig de status, toewijzing en classificatie van de waarschuwing. U kunt hier ook een opmerking toevoegen.
Exporteren - een gedetailleerd Excel-rapport voor analyse downloaden
Waarschuwing koppelen aan een ander incident - een waarschuwing koppelen aan een nieuw bestaand incident
Zie Waarschuwingen onderzoeken in Microsoft Defender XDR voor meer informatie over waarschuwingen.
Classificaties van beveiligingswaarschuwingen
Na een goed onderzoek kunnen alle Defender for Identity-beveiligingswaarschuwingen worden geclassificeerd als een van de volgende activiteitstypen:
Terecht positief (TP):een schadelijke actie gedetecteerd door Defender for Identity.
Goedaardig terecht-positief (B-TP):een actie gedetecteerd door Defender for Identity die echt is, maar niet schadelijk, zoals een penetratietest of bekende activiteit die wordt gegenereerd door een goedgekeurde toepassing.
Fout-positief (FP): een vals alarm, wat betekent dat de activiteit niet is gebeurd.
Is de beveiligingswaarschuwing een TP, B-TP of FP
Stel voor elke waarschuwing de volgende vragen om de waarschuwingsclassificatie te bepalen en om te bepalen wat u vervolgens moet doen:
- Hoe gebruikelijk is deze specifieke beveiligingswaarschuwing in uw omgeving?
- Is de waarschuwing geactiveerd door dezelfde typen computers of gebruikers? Bijvoorbeeld servers met dezelfde rol of gebruikers van dezelfde groep/afdeling? Als de computers of gebruikers vergelijkbaar waren, kunt u besluiten deze uit te sluiten om extra toekomstige FP-waarschuwingen te voorkomen.
Notitie
Een toename van waarschuwingen van hetzelfde type vermindert doorgaans het verdachte/urgentieniveau van de waarschuwing. Voor herhaalde waarschuwingen controleert u configuraties en gebruikt u details en definities van beveiligingswaarschuwingen om precies te begrijpen wat er gebeurt om de herhalingen te activeren.
Beveiligingswaarschuwingscategorieën
Defender for Identity-beveiligingswaarschuwingen zijn onderverdeeld in de volgende categorieën of fasen, zoals de fasen die worden gezien in een typische kill chain voor cyberaanvallen. Meer informatie over elke fase en de waarschuwingen die zijn ontworpen om elke aanval te detecteren met behulp van de volgende koppelingen:
- Reconnaissancewaarschuwingen
- Gecompromitteerde referentiewaarschuwingen
- Waarschuwingen voor laterale verplaatsing
- Waarschuwingen voor domeindominantie
- Exfiltratiewaarschuwingen
Onderzoek naar geavanceerde beveiligingswaarschuwingen
Als u meer informatie wilt over een beveiligingswaarschuwing, selecteert u Exporteren op een pagina met waarschuwingsgegevens om het gedetailleerde Excel-waarschuwingsrapport te downloaden.
Het gedownloade bestand bevat overzichtsdetails over de waarschuwing op het eerste tabblad, waaronder:
- Title
- Beschrijving
- Begintijd (UTC)
- Eindtijd (UTC)
- Ernst : laag/gemiddeld/hoog
- Status : openen/sluiten
- Tijd van statusupdate (UTC)
- Bekijken in browser
Alle betrokken entiteiten, inclusief accounts, computers en resources, worden vermeld, gescheiden door hun rol. Er worden details opgegeven voor de bron-, doel- of aanvalsentiteit, afhankelijk van de waarschuwing.
De meeste tabbladen bevatten de volgende gegevens per entiteit:
Naam
DETAILS
Type
SamName
Broncomputer
Brongebruiker (indien beschikbaar)
Domeincontrollers
Geopende resource: tijd, computer, naam, details, type, service.
Gerelateerde entiteiten: ID, Type, Naam, Unieke entiteit Json, Unieke entiteitsprofiel Json
Alle onbewerkte activiteiten die zijn vastgelegd door Defender for Identity Sensors met betrekking tot de waarschuwing (netwerk- of gebeurtenisactiviteiten), waaronder:
- Netwerkactiviteiten
- Gebeurtenisactiviteiten
Sommige waarschuwingen hebben extra tabbladen, zoals details over:
- Aangevallen accounts toen de vermoedelijke aanval Brute Force gebruikte.
- DNS-servers (Domain Name System) wanneer de vermoedelijke aanval betrekking heeft op reconnaissance (Network Mapping Reconnaissance).
Voorbeeld:
Gerelateerde entiteiten
In elke waarschuwing bevat het laatste tabblad de gerelateerde entiteiten. Gerelateerde entiteiten zijn alle entiteiten die betrokken zijn bij een verdachte activiteit, zonder de scheiding van de 'rol' die ze in de waarschuwing hebben gespeeld. Elke entiteit heeft twee Json-bestanden, de Json van de unieke entiteit en het unieke entiteitsprofiel Json. Gebruik deze twee Json-bestanden voor meer informatie over de entiteit en om u te helpen de waarschuwing te onderzoeken.
Json-bestand voor unieke entiteit
Bevat de gegevens die Defender for Identity heeft geleerd uit Active Directory over het account. Dit omvat alle kenmerken zoals Distinguished Name, SID, LockoutTime en PasswordExpiryTime. Voor gebruikersaccounts zijn gegevens opgenomen, zoals Afdeling, E-mail en Telefoon Nummering. Voor computeraccounts zijn gegevens opgenomen, zoals OperatingSystem, IsDomainController en DnsName.
Json-bestand met een uniek entiteitsprofiel
Bevat alle gegevens die Defender for Identity op de entiteit zijn geprofileerd. Defender for Identity maakt gebruik van de netwerk- en gebeurtenisactiviteiten die zijn vastgelegd voor meer informatie over de gebruikers en computers van de omgeving. Defender for Identity-profielen relevante informatie per entiteit. Deze informatie draagt bij aan de mogelijkheden voor bedreigingsidentificatie van Defender for Identity.
Hoe kan ik Defender for Identity-gegevens gebruiken in een onderzoek?
Onderzoeken kunnen zo gedetailleerd mogelijk zijn. Hier volgen enkele ideeën over manieren om te onderzoeken met behulp van de gegevens van Defender for Identity.
- Controleer of alle gerelateerde gebruikers deel uitmaken van dezelfde groep of afdeling.
- Delen gerelateerde gebruikers resources, toepassingen of computers?
- Is een account actief, ook al is het passwordExpiryTime al doorgegeven?
Defender for Identity en NNR (Netwerknaamomzetting)
Defender for Identity Detection-mogelijkheden zijn afhankelijk van actieve netwerknaamomzetting (NNR) om IP-adressen op computers in uw organisatie op te lossen. Met NNR kan Defender for Identity correleren tussen onbewerkte activiteiten (met IP-adressen) en de relevante computers die betrokken zijn bij elke activiteit. Op basis van de onbewerkte activiteiten worden entiteiten van Defender for Identity-profielen, inclusief computers, gegenereerd en waarschuwingen gegenereerd.
NNR-gegevens zijn van cruciaal belang voor het detecteren van de volgende waarschuwingen:
- Vermoedelijke identiteitsdiefstal (pass-the-ticket)
- Verdachte DCSync-aanval (replicatie van adreslijstservices)
- Reconnaissance voor netwerktoewijzing (DNS)
Gebruik de NNR-informatie op het tabblad Netwerkactiviteiten van het rapport voor het downloaden van waarschuwingen om te bepalen of een waarschuwing een FP is. In gevallen van een FP-waarschuwing is het gebruikelijk dat het NNR-zekerheidsresultaat met een lage betrouwbaarheid wordt gegeven.
Rapportgegevens downloaden wordt weergegeven in twee kolommen:
Bron-/doelcomputer
- Zekerheid: zekerheid met lage resolutie kan duiden op onjuiste naamomzetting.
Bron-/doelcomputer
- Oplossingsmethode : biedt de NNR-methoden die worden gebruikt voor het omzetten van het IP-adres naar de computer in de organisatie.
Zie Werken met beveiligingswaarschuwingen voor Defender for Identity voor meer informatie over het werken met beveiligingswaarschuwingen van Defender for Identity.