Alertas de Segurança Microsoft Defender para Identidade

Nota

A experiência descrita nesta página pode ser acedida como https://security.microsoft.com parte de Microsoft 365 Defender.

Microsoft Defender para Identidade alertas de segurança explicam as atividades suspeitas detetadas pelo Defender para sensores de identidade na sua rede, e os atores e computadores envolvidos em cada ameaça. As listas de provas de alerta contêm ligações diretas aos utilizadores e computadores envolvidos, para ajudar a tornar as suas investigações fáceis e diretas.

Os alertas de segurança do Defender for Identity são divididos nas seguintes categorias ou fases, como as fases vistas numa cadeia típica de morte por ciberataques. Saiba mais sobre cada fase, os alertas concebidos para detetar cada ataque e como usar os alertas para ajudar a proteger a sua rede utilizando os seguintes links:

  1. Alertas de fase de reconhecimento
  2. Alertas de fase de credencial comprometidos
  3. Alertas de fase de movimento lateral
  4. Alertas de fase de domínio de domínio de domínio de domínio
  5. Alertas de fase de exfiltração

Para saber mais sobre a estrutura e componentes comuns de todos os alertas de segurança do Defender para identidade, consulte os alertas de segurança da Compreensão.

Mapeamento de nome de alerta de segurança e IDs externos únicos

A tabela que se segue lista o mapeamento entre nomes de alerta, os seus iDs externos únicos correspondentes, a sua gravidade e a sua tática MITRE ATT&CK Matrix™. Quando usada com scripts ou automatização, a Microsoft recomenda a utilização de IDs externos de alerta em vez de nomes de alerta, uma vez que apenas os IDs externos de alerta de segurança são permanentes e não estão sujeitos a alterações.

IDs externos

Nome de alerta de segurança ID externo único Gravidade Matriz™ MITRE ATT&CK
Suspeito de ataque de viaduto-o-hash (Kerberos) 2002 Médio Movimento lateral
Reconhecimento da enumeração de contas 2003 Médio Deteção
Suspeito de ataque da Força Bruta (LDAP) 2004 Médio Acesso credencial
Suspeita de ataque DCSync (replicação de serviços de diretório) 2006 Alto Persistência, Acesso credencial
Reconhecimento de mapeamento de rede (DNS) 2007 Médio Deteção
Utilização suspeita de Bilhete Dourado (downgrade de encriptação) 2009 Médio Escalada de Privilégio, Movimento Lateral, Persistência
Ataque suspeito da Chave esqueleto (degradação da encriptação) 2010 Médio Movimento lateral, Persistência
Reconhecimento de endereços de utilizador e IP (SMB) 2012 Médio Deteção
Suspeita de utilização do Bilhete Dourado (dados de autorização falsificados) 2013 Alto Escalada de privilégio, movimento lateral, persistência
Atividade honeytoken 2014 Médio Acesso credencial, Descoberta
Suspeita de roubo de identidade (Pass-the-Hash) 2017 Alto Movimento lateral
Suspeita de roubo de identidade (passe-o-bilhete) 2018 Alto ou Médio Movimento lateral
Tentativa remota de execução de código 2019 Médio Execução, Persistência, Escalada de Privilégio, Evasão da Defesa, Movimento Lateral
Pedido malicioso de chave mestra da API de Proteção de Dados 2020 Alto Acesso credencial
Reconhecimento de membros do utilizador e do grupo (SAMR) 2021 Médio Deteção
Suspeita de utilização do Bilhete Dourado (anomalia temporal) 2022 Alto Escalada de Privilégio, Movimento Lateral, Persistência
Ataque suspeito da Força Bruta (Kerberos, NTLM) 2023 Médio Acesso credencial
Adições suspeitas a grupos sensíveis 2024 Médio Acesso credencial, Persistência
Ligação VPN suspeita 2025 Médio Persistência, Evasão da Defesa
Criação de serviço suspeito 2026 Médio Execução, Persistência, Escalada de Privilégio, Evasão da Defesa, Movimento Lateral
Suspeita de utilização do Bilhete Dourado (conta inexistente) 2027 Alto Escalada de Privilégio, Movimento Lateral, Persistência
Suspeita de ataque dcshadow (promoção do controlador de domínio) 2028 Alto Evasão à defesa
Suspeita de ataque dcshadow (pedido de replicação do controlador de domínio) 2029 Alto Evasão à defesa
Exfiltração de dados sobre SMB 2030 Alto Exfiltração, Movimento Lateral, Comando e Controlo
Comunicação suspeita sobre DNS 2031 Médio Exfiltração
Suspeita de utilização do Bilhete Dourado (anomalia do bilhete) 2032 Alto Escalada de Privilégio, Movimento Lateral, Persistência
Suspeito de ataque da Força Bruta (SMB) 2033 Médio Movimento lateral
Suspeita de utilização do quadro de hacking de Metasploit 2034 Médio Movimento lateral
Suspeito de ataque de ransomware WannaCry 2035 Médio Movimento lateral
Execução remota de código sobre DNS 2036 Médio Escalada de privilégio, movimento lateral
Suspeito de ataque de retransmissão NTLM 2037 Médio ou baixo se observado usando o protocolo NTLM v2 assinado Escalada de privilégio, movimento lateral
Reconhecimento principal de segurança (LDAP) 2038 Médio Acesso credencial
Suspeita de adulteração da autenticação da NTLM 2039 Médio Escalada de privilégio, movimento lateral
Suspeita de utilização do Bilhete Dourado (anomalia de bilhete usando RBCD) 2040 Alto Persistência
Suspeita de utilização do certificado Kerberos fraudulento 2047 Alto Movimento lateral
Ative Directory atribui reconhecimento (LDAP) 2210 Médio Deteção
Suspeita de manipulação de pacotes SMB (exploração CVE-2020-0796) - (pré-visualização) 2406 Alto Movimento lateral
Suspeita de exposição a Kerberos SPN (ID externo 2410) 2410 Alto Acesso credencial
Suspeita de tentativa de elevação do privilégio Netlogon (exploração CVE-2020-1472) 2411 Alto Escalamento de Privilégios
Suspeito de ataque assar AS-REP 2412 Alto Acesso credencial
execução de código remoto Exchange Server (CVE-2021-26855) 2414 Alto Movimento lateral
Suspeita de tentativa de exploração no serviço Spooler de impressão do Windows 2415 Alto ou Médio Movimento lateral
Conexão de rede suspeita sobre o protocolo remoto do sistema de ficheiros encriptando 2416 Alto ou Médio Movimento lateral
Modificação suspeita de um atributo sAMNameAccount (exploração CVE-2021-42278 e CVE-2021-42287) 2419 Alto Acesso credencial

Nota

Para desativar qualquer alerta de segurança, contacte o suporte.

Consulte também