Informacje o alertach zabezpieczeń
Alerty zabezpieczeń usługi Microsoft Defender for Identity wyjaśniają w jasnym języku i grafice, które podejrzane działania zostały zidentyfikowane w sieci oraz aktorów i komputerów zaangażowanych w zagrożenia. Alerty są klasyfikowane pod kątem ważności, oznaczone kolorami, aby ułatwić wizualne filtrowanie i organizowanie według fazy zagrożenia. Każdy alert jest przeznaczony do szybkiego zrozumienia dokładnie tego, co dzieje się w sieci. Listy dowodów alertów zawierają bezpośrednie linki do zaangażowanych użytkowników i komputerów, aby ułatwić badanie i bezpośrednie.
W tym artykule poznasz strukturę alertów zabezpieczeń usługi Defender for Identity oraz sposób ich używania.
- Struktura alertów zabezpieczeń
- Klasyfikacje alertów zabezpieczeń
- Kategorie alertów zabezpieczeń
- Zaawansowane badanie alertów zabezpieczeń
- Powiązane jednostki
- Defender for Identity i NNR (rozpoznawanie nazw sieci)
Struktura alertów zabezpieczeń
Każdy alert zabezpieczeń usługi Defender for Identity zawiera historię alertów. Jest to łańcuch zdarzeń związanych z tym alertem w kolejności chronologicznej oraz inne ważne informacje związane z alertem.
Na stronie alertu możesz:
Zarządzanie alertem — zmień stan, przypisanie i klasyfikację alertu. Możesz również dodać komentarz tutaj.
Eksportowanie — pobieranie szczegółowego raportu programu Excel na potrzeby analizy
Łączenie alertu z innym zdarzeniem — łączenie alertu z nowym istniejącym zdarzeniem
Aby uzyskać więcej informacji na temat alertów, zobacz Badanie alertów w usłudze Microsoft Defender XDR.
Klasyfikacje alertów zabezpieczeń
Po odpowiednim zbadaniu wszystkie alerty zabezpieczeń usługi Defender for Identity można sklasyfikować jako jeden z następujących typów działań:
Wynik prawdziwie dodatni (TP): złośliwa akcja wykryta przez usługę Defender for Identity.
Łagodny wynik prawdziwie dodatni (B-TP): Akcja wykryta przez usługę Defender for Identity, która jest prawdziwa, ale nie złośliwa, taka jak test penetracyjne lub znane działanie wygenerowane przez zatwierdzoną aplikację.
Wynik fałszywie dodatni (FP): fałszywy alarm, co oznacza, że działanie nie miało miejsce.
Czy alert zabezpieczeń to TP, B-TP lub FP
Dla każdego alertu zadaj następujące pytania, aby określić klasyfikację alertów i pomóc zdecydować, co należy zrobić dalej:
- Jak typowy jest ten konkretny alert zabezpieczeń w danym środowisku?
- Czy alert został wyzwolony przez te same typy komputerów lub użytkowników? Na przykład serwery z tą samą rolą lub użytkownikami z tej samej grupy/działu? Jeśli komputery lub użytkownicy byli podobni, możesz zdecydować się wykluczyć go, aby uniknąć dodatkowych przyszłych alertów FP.
Uwaga
Wzrost alertów o dokładnie tym samym typie zwykle zmniejsza poziom podejrzanego/ważnego alertu. W przypadku powtarzających się alertów sprawdź konfiguracje i użyj szczegółów i definicji alertów zabezpieczeń, aby dokładnie zrozumieć, co się dzieje, które wyzwalają powtórzenie.
Kategorie alertów zabezpieczeń
Alerty zabezpieczeń usługi Defender for Identity są podzielone na następujące kategorie lub fazy, takie jak fazy występujące w typowym łańcuchu zagrożeń cybernetycznych. Dowiedz się więcej o każdej fazie i alertach przeznaczonych do wykrywania każdego ataku, korzystając z następujących linków:
- Alerty rekonesansu
- Alerty poświadczeń z naruszonym naruszeniem
- Alerty dotyczące przenoszenia bocznego
- Alerty dotyczące dominacji domeny
- Alerty eksfiltracji
Zaawansowane badanie alertów zabezpieczeń
Aby uzyskać więcej informacji na temat alertu zabezpieczeń, wybierz pozycję Eksportuj na stronie szczegółów alertu, aby pobrać szczegółowy raport alertu programu Excel.
Pobrany plik zawiera podsumowanie szczegółów alertu na pierwszej karcie, w tym:
- Nazwa
- opis
- Godzina rozpoczęcia (UTC)
- Godzina zakończenia (UTC)
- Ważność — niska/średnia/wysoka
- Stan — otwarte/zamknięte
- Czas aktualizacji stanu (UTC)
- Wyświetlanie w przeglądarce
Wszystkie zaangażowane jednostki, w tym konta, komputery i zasoby, są wymienione na liście oddzielone ich rolą. Szczegóły są udostępniane dla jednostki źródłowej, docelowej lub zaatakowanej w zależności od alertu.
Większość kart zawiera następujące dane na jednostkę:
Nazwa/nazwisko
Details
Typ
SamName
Komputer źródłowy
Użytkownik źródłowy (jeśli jest dostępny)
Kontrolery domeny
Dostęp do zasobu: czas, komputer, nazwa, szczegóły, typ, usługa.
Powiązane jednostki: ID, Type, Name, Unique Entity Json, Unique Entity Profile Json
Wszystkie nieprzetworzone działania przechwycone przez czujniki tożsamości usługi Defender for Identity związane z alertem (działania sieciowe lub zdarzenia), w tym:
- Działania sieciowe
- Działania związane z zdarzeniami
Niektóre alerty mają dodatkowe karty, takie jak szczegółowe informacje o:
- Zaatakowane konta, gdy podejrzany atak użył sił siłowych.
- Serwery systemu nazw domen (DNS), gdy podejrzewany atak dotyczył rekonesansu mapowania sieci (DNS).
Na przykład:
Powiązane jednostki
W każdym alercie ostatnia karta zawiera powiązane jednostki. Powiązane jednostki to wszystkie jednostki zaangażowane w podejrzane działanie bez rozdzielenia "roli", jaką odegrali w alercie. Każda jednostka ma dwa pliki Json, unikatowy kod Json jednostki i unikatowy kod Json profilu jednostki. Użyj tych dwóch plików JSON, aby dowiedzieć się więcej o jednostce i ułatwić badanie alertu.
Unikatowy plik Json jednostki
Zawiera dane usługi Defender for Identity poznane w usłudze Active Directory dotyczące konta. Obejmuje to wszystkie atrybuty, takie jak Nazwa wyróżniająca, SID, LockoutTime i PasswordExpiryTime. W przypadku kont użytkowników obejmują dane, takie jak Dział, Poczta i Telefon Number. W przypadku kont komputerów obejmuje dane, takie jak OperatingSystem, IsDomainController i DnsName.
Unikatowy plik Json profilu jednostki
Zawiera wszystkie dane usługi Defender for Identity profilowane w jednostce. Usługa Defender for Identity używa przechwyconych działań sieciowych i zdarzeń, aby dowiedzieć się więcej o użytkownikach i komputerach środowiska. Usługa Defender for Identity profile istotne informacje na jednostkę. Te informacje przyczyniają się do możliwości identyfikacji zagrożeń w usłudze Defender for Identity.
Jak mogę używać informacji usługi Defender for Identity w ramach badania?
Badania mogą być tak szczegółowe, jak to konieczne. Poniżej przedstawiono kilka pomysłów dotyczących sposobów badania użycia danych dostarczonych przez usługę Defender for Identity.
- Sprawdź, czy wszyscy powiązani użytkownicy należą do tej samej grupy lub działu.
- Czy powiązani użytkownicy współużytkują zasoby, aplikacje lub komputery?
- Czy konto jest aktywne, mimo że hasłoExpiryTime zostało już przekazane?
Defender for Identity i NNR (rozpoznawanie nazw sieci)
Funkcje wykrywania tożsamości w usłudze Defender polegają na aktywnym rozpoznawaniu nazw sieciowych (NNR) w celu rozpoznawania adresów IP komputerów w organizacji. Za pomocą protokołu NNR usługa Defender for Identity może skorelować nieprzetworzone działania (zawierające adresy IP) i odpowiednie komputery zaangażowane w każde działanie. Na podstawie nieprzetworzonych działań jednostki profilów usługi Defender for Identity, w tym komputery i generują alerty.
Dane NNR mają kluczowe znaczenie dla wykrywania następujących alertów:
- Podejrzenie kradzieży tożsamości (pass-the-ticket)
- Podejrzany atak DCSync (replikacja usług katalogowych)
- Rekonesans mapowania sieci (DNS)
Użyj informacji NNR podanych na karcie Działania sieciowe raportu pobierania alertów, aby określić, czy alert jest fp. W przypadku alertu FP często występuje wynik pewności NNR, biorąc pod uwagę niską pewność.
Pobieranie danych raportu jest wyświetlane w dwóch kolumnach:
Komputer źródłowy/docelowy
- Pewność — pewność o niskiej rozdzielczości może wskazywać na niepoprawne rozpoznawanie nazw.
Komputer źródłowy/docelowy
- Metoda rozwiązywania — udostępnia metody NNR używane do rozpoznawania adresu IP do komputera w organizacji.
Aby uzyskać więcej informacji na temat pracy z alertami zabezpieczeń usługi Defender for Identity, zobacz Praca z alertami zabezpieczeń.