Alertas de segurança do Microsoft Defender para Identidade

Observação

A experiência descrita nesta página pode ser acessada https://security.microsoft.com como parte de Microsoft 365 Defender.

Microsoft Defender para Identidade alertas de segurança explicam as atividades suspeitas detectadas pelos sensores do Defender para Identidade em sua rede e os atores e computadores envolvidos em cada ameaça. As listas de evidências dos alertas contêm links diretos para os computadores e os usuários envolvidos para ajudar a tornar suas investigações fáceis e diretas.

Os alertas de segurança do Defender para Identidade são divididos nas seguintes categorias ou fases, como as fases vistas em uma cadeia de kill de ataque cibernético típica. Saiba mais sobre cada fase, os alertas projetados para detectar cada ataque e como usar os alertas para ajudar a proteger sua rede usando os links a seguir:

  1. Alertas de fase de reconhecimento
  2. Alertas de fase de credencial comprometida
  3. Alertas de fase de movimento lateral
  4. Alertas de fase de comprometimento de domínio
  5. Alertas da fase de exportação

Para saber mais sobre a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, consulte Noções básicas sobre alertas de segurança.

Mapeamento de nome do alerta de segurança e IDs externas exclusivas

A tabela a seguir lista o mapeamento entre nomes de alerta, suas IDs externas exclusivas correspondentes, sua gravidade e sua tática mitre att&CK matrix™. Quando usadas com scripts ou automação, a Microsoft recomenda o uso de IDs externas de alertas em vez de nomes de alertas, já que apenas IDs externas de alertas são permanentes e não estão sujeitas a alterações.

IDs externas

Nome do alerta de segurança ID externa exclusiva Severidade Matriz™ MITRE ATT&CK
Suspeita de ataque de Overpass-the-Hash (Kerberos) 2002 Média Movimento lateral
Reconhecimento de enumeração de conta 2003 Média Descoberta
Suspeita de ataque de força bruta (LDAP) 2004 Média Credencial de acesso
Suspeita de ataque de DCSync (replicação de serviços de diretório) 2006 Alta Persistência, acesso à credencial
Reconhecimento de mapeamento de rede (DNS) 2007 Média Descoberta
Suspeita de uso de Golden Ticket (downgrade de criptografia) 2009 Média Escalonamento de privilégios, movimento lateral, persistência
Suspeita de ataque com chave de esqueleto (downgrade de criptografia) 2010 Média Movimento lateral, Persistência
Reconhecimento de endereço IP e de usuário (SMB) 2012 Média Descoberta
Suspeita de uso de Golden Ticket (dados de autorização forjados) 2013 Alta Escalonamento de privilégios, movimento lateral, persistência
Atividade de Honeytoken 2014 Média Acesso à credencial, Descoberta
Suspeita de roubo de identidade (Pass-the-Hash) 2017 Alta Movimentação lateral
Suspeita de roubo de identidade (Pass-the-Ticket) 2018 Alto ou médio Movimento lateral
Tentativa de execução remota de código 2019 Média Execução, persistência, escalonamento de privilégios, evasão de defesa, movimento lateral
Solicitação mal-intencionada de chave mestra da API de Proteção de Dados 2020 Alta Credencial de acesso
Reconhecimento de associação de usuário e grupo (SAMR) 2021 Média Descoberta
Suspeita de uso de Golden Ticket (anomalia de tempo) 2022 Alta Escalonamento de privilégios, movimento lateral, persistência
Suspeita de ataque de força bruta (Kerberos, NTLM) 2023 Média Credencial de acesso
Adições suspeitas a grupos confidenciais 2024 Média Acesso de credencial, persistência
Conexão de VPN suspeita 2025 Média Persistência, evasão de defesa
Criação de serviço suspeito 2026 Média Execução, persistência, escalonamento de privilégios, evasão de defesa, movimento lateral
Suspeita de uso de Golden Ticket (conta inexistente) 2027 Alta Aumento de privilégios, movimento lateral, persistência
Suspeita de ataque DCShadow (promoção do controlador de domínio) 2028 Alta Evasão de defesa
Suspeito de ataque DCShadow (solicitação de replicação do controlador de domínio) 2029 Alta Evasão de defesa
Exportação de dados por SMB 2030 Alta Exfiltração, movimento lateral, comando e controle
Comunicação suspeita por DNS 2031 Média Exfiltração
Suspeita de uso de Golden Ticket (anomalia de tíquete) 2032 Alta Aumento de privilégios, movimento lateral, persistência
Suspeita de ataque de força bruta (SMB) 2033 Média Movimentação lateral
Suspeita de uso da estrutura de hacker Metasploit 2034 Média Movimentação lateral
Suspeita de ataque do ransomware WannaCry 2035 Média Movimento lateral
Execução remota de código no DNS 2036 Média Escalonamento de privilégios, movimento lateral
Suspeita de ataque de retransmissão de NTLM 2037 Médio ou baixo se observado usando o protocolo NTLM v2 assinado Escalonamento de privilégios, movimento lateral
Reconhecimento de entidade de segurança (LDAP) 2038 Média Credencial de acesso
Suspeita de violação da autenticação NTLM 2039 Média Escalonamento de privilégios, movimento lateral
Suspeita de uso de Golden Ticket (anomalia de tíquete usando RBCD) 2040 Alta Persistência
Suspeita de uso de certificado do Kerberos invasor 2047 Alta Movimentação lateral
Reconhecimento de atributos do Active Directory (LDAP) 2210 Média Descoberta
Suspeita de manipulação de pacote SMB (exploração de CVE-2020-0796) – (versão prévia) 2406 Alta Movimento lateral
Suspeita de exposição do nome da entidade de serviço do Kerberos (ID externa 2410) 2410 Alta Credencial de acesso
Suspeita de tentativa de elevação de privilégio do Netlogon (exploração CVE-2020-1472) 2411 Alta Escalonamento de Privilégios
Suspeita de ataque AS-REP Roasting 2412 Alta Credencial de acesso
Execução de código remoto do Exchange Server (CVE-2021-26855) 2414 Alta Movimentação lateral
Suspeita de tentativa de exploração no serviço de spooler de impressão do Windows 2415 Alto ou médio Movimento lateral
Conexão de rede suspeita no Encrypting File System Remote Protocol 2416 Alto ou médio Movimento lateral
Modificação suspeita de um atributo sAMNameAccount (exploração CVE-2021-42278 e CVE-2021-42287) 2419 Alta Credencial de acesso

Observação

Para desabilitar um alerta de segurança, contate o suporte.

Consulte Também