Alerty zabezpieczeń w Microsoft Defender for Identity

Co to są Microsoft Defender for Identity alerty zabezpieczeń?

Microsoft Defender for Identity alerty zabezpieczeń zawierają informacje o podejrzanych działaniach wykrytych przez czujniki usługi Defender for Identity w sieci oraz o aktorach i komputerach biorących udział w każdym zagrożeniu. Listy dowodów alertów zawierają bezpośrednie linki do zaangażowanych użytkowników i komputerów, aby ułatwić i kierować badania.

Uwaga

Usługa Defender for Identity nie służy jako rozwiązanie do inspekcji lub rejestrowania, które przechwytuje każdą operację lub działanie na serwerach, na których jest zainstalowany czujnik. Przechwytuje tylko dane wymagane do ich mechanizmów wykrywania i rekomendacji.

Strona Alerty dotyczące tożsamości zapewnia możliwości wzbogacania sygnałów między domenami i automatycznego reagowania na tożsamości. Zaletą badania alertów za pomocą Microsoft Defender XDR jest to, że alerty Microsoft Defender for Identity są skorelowane z informacjami uzyskanymi z każdego z innych produktów w pakiecie. Te rozszerzone alerty są zgodne z innymi formatami alertów Microsoft Defender XDR pochodzącymi z Ochrona usługi Office 365 w usłudze Microsoft Defender i Ochrona punktu końcowego w usłudze Microsoft Defender.

Alerty pochodzące z usługi Defender for Identity wyzwalają Microsoft Defender XDR możliwości zautomatyzowanego badania i reagowania (AIR), w tym automatyczne korygowanie alertów oraz ograniczanie ryzyka narzędzi i procesów, które mogą przyczynić się do podejrzanego działania.

Microsoft Defender for Identity alerty są obecnie wyświetlane w dwóch różnych układach w portalu Microsoft Defender XDR. Chociaż widoki alertów mogą zawierać różne informacje, wszystkie alerty są oparte na wykrywaniu z czujników usługi Defender for Identity. Wyświetlane różnice w układzie i informacjach są częścią trwającego przejścia do ujednoliconego środowiska alertów w Microsoft Defender produktach.

Aby uzyskać więcej informacji, zobacz Wyświetlanie alertów zabezpieczeń i zarządzanie nimi.

Kategorie alertów

Alerty zabezpieczeń usługi Defender for Identity są podzielone na następujące kategorie lub fazy, takie jak fazy widoczne w typowym łańcuchu ataków cybernetycznych. Dowiedz się więcej o każdej fazie, alertach zaprojektowanych do wykrywania każdego ataku oraz o tym, jak używać alertów do ochrony sieci przy użyciu następujących linków:

1. Alerty rekonesansu i odnajdywania
2. Alerty eskalacji trwałości i uprawnień
3. Alerty dostępu poświadczeń
4. Alerty dotyczące przenoszenia bocznego
5. Inne alerty

Mapowanie alertów zabezpieczeń na unikatowy identyfikator zewnętrzny i taktykę mitre att&macierzy CK

W poniższej tabeli wymieniono mapowanie między nazwami alertów, odpowiadającymi im unikatowymi identyfikatorami zewnętrznymi, ich ważnością i taktyką macierzy™ MITRE ATT&CK. W przypadku używania skryptów lub automatyzacji firma Microsoft zaleca używanie identyfikatorów zewnętrznych alertów zamiast nazw alertów, ponieważ tylko identyfikatory zewnętrzne alertów zabezpieczeń są trwałe i nie mogą ulec zmianie.

Nazwa alertu zabezpieczeń	Unikatowy identyfikator zewnętrzny	Waga	MITRE ATT&macierz™ CK
Podejrzenie wstrzyknięcia SID-History	1106	High (Wysoki)	Eskalacja uprawnień
Podejrzenie ataku typu overpass-the-hash (Kerberos)	2002	Średnie	Ruch boczny
Rekonesans wyliczania konta	2003	Średnie	Odkrycie
Podejrzenie ataku siłowego (LDAP)	2004	Średnie	Dostęp poświadczeń
Podejrzenie ataku DCSync (replikacja usług katalogowych)	2006	High (Wysoki)	Dostęp poświadczeń, trwałość
Rekonesans mapowania sieci (DNS)	2007	Średnie	Odkrycie
Podejrzenie ataku typu over-pass-the-hash (typ wymuszonego szyfrowania)	2008	Średnie	Ruch boczny
Podejrzenie użycia złotego biletu (obniżenie poziomu szyfrowania)	2009	Średnie	Trwałość, eskalacja uprawnień, ruch boczny
Podejrzenie ataku na klucz szkieletu (obniżenie poziomu szyfrowania)	2010	Średnie	Trwałość, ruch boczny
Rekonesans adresów IP i użytkownika (SMB)	2012	Średnie	Odkrycie
Podejrzenie użycia złotego biletu (sfałszowane dane autoryzacji)	2013	High (Wysoki)	Dostęp poświadczeń
Działanie uwierzytelniania w trybie honeytoken	2014	Średnie	Dostęp poświadczeń, odnajdywanie
Podejrzenie kradzieży tożsamości (pass-the-hash)	2017	High (Wysoki)	Ruch boczny
Podejrzenie kradzieży tożsamości (pass-the-ticket)	2018	Wysoki lub średni	Ruch boczny
Zdalna próba wykonania kodu	2019	Średnie	Wykonywanie, trwałość, eskalacja uprawnień, uchylanie się od obrony, ruch boczny
Złośliwe żądanie klucza głównego interfejsu API ochrony danych	2020	High (Wysoki)	Dostęp poświadczeń
Rekonesans członkostwa użytkowników i grup (SAMR)	2021	Średnie	Odkrycie
Podejrzenie użycia złotego biletu (anomalia czasu)	2022	High (Wysoki)	Trwałość, eskalacja uprawnień, ruch boczny
Podejrzenie ataku siłowego (Kerberos, NTLM)	2023	Średnie	Dostęp poświadczeń
Podejrzane dodatki do grup poufnych	2024	Średnie	Trwałość, dostęp poświadczeń,
Podejrzane połączenie sieci VPN	2025	Średnie	Uchylanie się od obrony, trwałość
Podejrzane tworzenie usługi	2026	Średnie	Wykonywanie, trwałość, eskalacja uprawnień, uchylanie się od obrony, ruch boczny
Podejrzenie użycia złotego biletu (nieistniejące konto)	2027	High (Wysoki)	Trwałość, eskalacja uprawnień, ruch boczny
Podejrzenie ataku DCShadow (podwyższanie poziomu kontrolera domeny)	2028	High (Wysoki)	Uchylanie się od obrony
Podejrzenie ataku DCShadow (żądanie replikacji kontrolera domeny)	2029	High (Wysoki)	Uchylanie się od obrony
Eksfiltracja danych za pośrednictwem protokołu SMB	2030	High (Wysoki)	Eksfiltracja, ruch boczny, polecenie i kontrolka
Podejrzana komunikacja za pośrednictwem systemu DNS	2031	Średnie	Eksfiltracja
Podejrzenie użycia złotego biletu (anomalia biletu)	2032	High (Wysoki)	Trwałość, eskalacja uprawnień, ruch boczny
Podejrzenie ataku siłowego (SMB)	2033	Średnie	Ruch boczny
Podejrzenie użycia platformy hakerskiej Metasploit	2034	Średnie	Ruch boczny
Podejrzenie ataku ransomware WannaCry	2035	Średnie	Ruch boczny
Zdalne wykonywanie kodu za pośrednictwem systemu DNS	2036	Średnie	Ruch boczny, eskalacja uprawnień
Podejrzenie ataku przekaźnika NTLM	2037	Średni lub niski, jeśli jest obserwowany przy użyciu podpisanego protokołu NTLM w wersji 2	Ruch boczny, eskalacja uprawnień
Rekonesans podmiotu zabezpieczeń (LDAP)	2038	Wysoki (w przypadku rozwiązania problemów lub wykrytego określonego narzędzia) i Średni	Dostęp poświadczeń
Podejrzenie naruszenia uwierzytelniania NTLM	2039	Średnie	Ruch boczny, eskalacja uprawnień
Podejrzenie użycia złotego biletu (anomalia biletu przy użyciu RBCD)	2040	High (Wysoki)	Wytrwałość
Podejrzenie użycia nieautoryzowanego certyfikatu Kerberos	2047	High (Wysoki)	Ruch boczny
Podejrzana próba delegowania protokołu Kerberos przy użyciu metody BronzeBit (eksploatacja CVE-2020-17049)	2048	Średnie	Dostęp poświadczeń
Rekonesans atrybutów usługi Active Directory (LDAP)	2210	Średnie	Odkrycie
Podejrzenie manipulowania pakietami SMB (CVE-2020-0796)	2406	High (Wysoki)	Ruch boczny
Podejrzenie ujawnienia nazwy SPN protokołu Kerberos	2410	High (Wysoki)	Dostęp poświadczeń
Podejrzenie próby podniesienia uprawnień netlogonu (CVE-2020-1472)	2411	High (Wysoki)	Eskalacja uprawnień
Podejrzenie ataku AS-REP Roasting	2412	High (Wysoki)	Dostęp poświadczeń
Podejrzenie odczytu klucza DKM usług AD FS	2413	High (Wysoki)	Dostęp poświadczeń
Exchange Server zdalne wykonywanie kodu (CVE-2021-26855)	2414	High (Wysoki)	Ruch boczny
Podejrzenie próby wykorzystania w usłudze Bufor wydruku systemu Windows	2415	Wysoki lub średni	Ruch boczny
Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików	2416	Wysoki lub średni	Ruch boczny
Podejrzane żądanie biletu Kerberos	2418	High (Wysoki)	Dostęp poświadczeń
Podejrzana modyfikacja atrybutu sAMNameAccount (CVE-2021-42278 i CVE-2021-42287)	2419	High (Wysoki)	Dostęp poświadczeń
Podejrzana modyfikacja relacji zaufania serwera usług AD FS	2420	Średnie	Eskalacja uprawnień
Podejrzana modyfikacja atrybutu dNSHostName (CVE-2022-26923)	2421	High (Wysoki)	Eskalacja uprawnień
Podejrzana próba delegowania protokołu Kerberos przez nowo utworzony komputer	2422	High (Wysoki)	Eskalacja uprawnień
Podejrzana modyfikacja atrybutu ograniczone delegowanie oparte na zasobach przez konto maszyny	2423	High (Wysoki)	Eskalacja uprawnień
Nietypowe uwierzytelnianie Active Directory Federation Services (AD FS) przy użyciu podejrzanego certyfikatu	2424	High (Wysoki)	Dostęp poświadczeń
Podejrzane użycie certyfikatu za pośrednictwem protokołu Kerberos (PKINIT)	2425	High (Wysoki)	Ruch boczny
Podejrzenie ataku DFSCoerce przy użyciu protokołu rozproszonego systemu plików	2426	High (Wysoki)	Dostęp poświadczeń
Zmodyfikowano atrybuty użytkownika z błędem Honeytoken	2427	High (Wysoki)	Wytrwałość
Zmieniono członkostwo w grupie honeytoken	2428	High (Wysoki)	Wytrwałość
Kwerenda o honeytoken była wysyłana za pośrednictwem protokołu LDAP	2429	Niski	Odkrycie
Podejrzana modyfikacja symbolu AdminSdHolder domeny	2430	High (Wysoki)	Wytrwałość
Podejrzenie przejęcia konta przy użyciu poświadczeń w tle	2431	High (Wysoki)	Dostęp poświadczeń
Podejrzane żądanie certyfikatu kontrolera domeny (ESC8)	2432	High (Wysoki)	Eskalacja uprawnień
Podejrzane usuwanie wpisów bazy danych certyfikatów	2433	Średnie	Uchylanie się od obrony
Podejrzane wyłączenie filtrów inspekcji usługi AD CS	2434	Średnie	Uchylanie się od obrony
Podejrzane modyfikacje uprawnień/ustawień zabezpieczeń usługi AD CS	2435	Średnie	Eskalacja uprawnień
Rekonesans wyliczenia konta (LDAP) (wersja zapoznawcza)	2437	Średnie	Odnajdywanie konta, konto domeny
Zmiana hasła trybu przywracania usług katalogowych	2438	Średnie	Trwałość, manipulowanie kontami
manipulowanie zasady grupy	2440	Średnie	Uchylanie się od obrony

Uwaga

Skontaktuj się z pomocą techniczną, aby wyłączyć alerty zabezpieczeń.

Zobacz też

• Wyświetlanie alertów zabezpieczeń i zarządzanie nimi
• Badanie alertów zabezpieczeń
• Zapoznaj się z forum Usługi Defender for Identity!