Compartilhar via

Alertas de segurança no Microsoft Defender para Identidade

O que são alertas de segurança Microsoft Defender para Identidade?

Microsoft Defender para Identidade alertas de segurança fornecem informações sobre as atividades suspeitas detetadas pelos sensores do Defender para Identidade na sua rede e os atores e computadores envolvidos em cada ameaça. As listas de evidências de alerta contêm links diretos para os usuários e computadores envolvidos, para ajudar a tornar suas investigações fáceis e diretas.

Observação

O Defender para Identidade não foi concebido para servir como uma solução de auditoria ou registo que captura todas as operações ou atividades nos servidores onde o sensor está instalado. Captura apenas os dados necessários para os mecanismos de deteção e recomendação.

A página Alertas de identidade dá-lhe capacidades de melhoramento de sinais entre domínios e de resposta de identidade automatizada. A vantagem de investigar alertas com Microsoft Defender XDR é que Microsoft Defender para Identidade alertas estão correlacionados com informações obtidas de cada um dos outros produtos no conjunto de aplicações. Estes alertas melhorados são consistentes com os outros formatos de alerta Microsoft Defender XDR provenientes de Microsoft Defender para Office 365 e Microsoft Defender para Ponto de Extremidade.

Os alertas provenientes do acionador do Defender para Identidade Microsoft Defender XDR capacidades de investigação e resposta automatizadas (AIR), incluindo a remediação automática de alertas e a mitigação de ferramentas e processos que podem contribuir para a atividade suspeita.

Microsoft Defender para Identidade alertas aparecem atualmente em dois esquemas diferentes no portal do Microsoft Defender XDR. Embora as vistas de alerta possam mostrar informações diferentes, todos os alertas são baseados em deteções de sensores do Defender para Identidade. As diferenças no esquema e nas informações apresentadas fazem parte de uma transição contínua para uma experiência de alerta unificada em Microsoft Defender produtos.

Para obter mais informações, veja Ver e gerir alertas de segurança.

Categorias de alertas

Os alertas de segurança do Defender para Identidade estão divididos nas seguintes categorias ou fases, como as fases vistas numa cadeia de eliminação de ciberataques típica. Saiba mais sobre cada fase, os alertas concebidos para detetar cada ataque e como utilizar os alertas para ajudar a proteger a sua rede com as seguintes ligações:

  1. Alertas de reconhecimento e deteção
  2. Alertas de persistência e escalamento de privilégios
  3. Alertas de acesso a credenciais
  4. Alertas de movimento lateral
  5. Outros alertas

Mapear alertas de segurança para ID externo exclusivo e táticas MITRE ATT&Matriz CK

A tabela seguinte lista o mapeamento entre os nomes dos alertas, os respetivos IDs externos exclusivos correspondentes, a sua gravidade e a respetiva tática MITRE ATT&Matriz™ CK. Quando utilizada com scripts ou automatização, a Microsoft recomenda a utilização de IDs externos de alerta em vez de nomes de alertas, uma vez que apenas os IDs externos de alerta de segurança são permanentes e não estão sujeitos a alterações.

Nome do alerta de segurança ID externo exclusivo Severity MITRE ATT&Matriz™ CK
Injeção de SID-History suspeita 1106 Alto Elevação de Privilégio
Suspeita de ataque de passagem superior ao hash (Kerberos) 2002 Médio Movimento lateral
Reconhecimento de enumeração de conta 2003 Médio Descoberta
Ataque de Força Bruta Suspeita (LDAP) 2004 Médio Acesso a credenciais
Ataque DCSync suspeito (replicação de serviços de diretório) 2006 Alto Acesso a credenciais, Persistência
Reconhecimento de mapeamento de rede (DNS) 2007 Médio Descoberta
Suspeita de ataque over-the-hash (tipo de encriptação forçada) 2008 Médio Movimento lateral
Utilização suspeita de Permissão Dourada (mudança para uma versão anterior da encriptação) 2009 Médio Persistência, Escalamento de Privilégios, Movimento lateral
Ataque de Chave de Estrutura Suspeita (mudança para uma versão anterior da encriptação) 2010 Médio Persistência, Movimento lateral
Reconhecimento de endereços IP e de utilizador (SMB) 2012 Médio Descoberta
Utilização suspeita de Permissão Dourada (dados de autorização falsificados) 2013 Alto Acesso a credenciais
Atividade de autenticação Honeytoken 2014 Médio Acesso a credenciais, Deteção
Suspeita de roubo de identidade (pass-the-hash) 2017 Alto Movimento lateral
Suspeita de roubo de identidade (passagem da permissão) 2018 Alto ou Médio Movimento lateral
Tentativa de execução remota de código 2019 Médio Execução, Persistência, Escalamento de privilégios, Evasão da defesa, movimento lateral
Pedido malicioso da chave de master da API de Proteção de Dados 2020 Alto Acesso a credenciais
Reconhecimento de associação de utilizadores e grupos (SAMR) 2021 Médio Descoberta
Utilização suspeita de Permissão Dourada (anomalia de tempo) 2022 Alto Persistência, Escalamento de Privilégios, Movimento lateral
Suspeita de ataque de Força Bruta (Kerberos, NTLM) 2023 Médio Acesso a credenciais
Adições suspeitas a grupos confidenciais 2024 Médio Persistência, Acesso a credenciais,
Ligação VPN suspeita 2025 Médio Evasão à defesa, Persistência
Criação de serviços suspeitos 2026 Médio Execução, Persistência, Escalamento de Privilégios, Evasão da Defesa, Movimento lateral
Utilização suspeita de Permissão Dourada (conta não existente) 2027 Alto Persistência, Escalamento de Privilégios, Movimento lateral
Ataque DCShadow suspeito (promoção do controlador de domínio) 2028 Alto Evasão da defesa
Ataque DCShadow suspeito (pedido de replicação do controlador de domínio) 2029 Alto Evasão da defesa
Transferência de dados exfiltração através de SMB 2030 Alto Exfiltração, Movimento lateral, Comando e controlo
Comunicação suspeita através de DNS 2031 Médio Exfiltração
Utilização suspeita de Permissão Dourada (anomalia de pedidos) 2032 Alto Persistência, Escalamento de Privilégios, Movimento lateral
Ataque de Força Bruta Suspeita (SMB) 2033 Médio Movimento lateral
Suspeita de utilização da arquitetura de hacking Metasploit 2034 Médio Movimento lateral
Ataque de ransomware WannaCry suspeito 2035 Médio Movimento lateral
Execução remota de código através de DNS 2036 Médio Movimento lateral, Escalamento de privilégios
Suspeita de ataque de reencaminhamento NTLM 2037 Médio ou Baixo se observado com o protocolo NTLM v2 assinado Movimento lateral, Escalamento de privilégios
Reconhecimento do principal de segurança (LDAP) 2038 Elevado (caso ocorram problemas de resolução ou Ferramenta Específica detetada) e Médio Acesso a credenciais
Suspeita de adulteração da autenticação NTLM 2039 Médio Movimento lateral, Escalamento de privilégios
Utilização suspeita de Permissão Dourada (anomalia do pedido com o RBCD) 2040 Alto Persistência
Suspeita de utilização de certificados Kerberos não autorizados 2047 Alto Movimento lateral
Tentativa suspeita de delegação kerberos com o método BronzeBit (exploração CVE-2020-17049) 2048 Médio Acesso a credenciais
Reconhecimento de atributos do Active Directory (LDAP) 2210 Médio Descoberta
Suspeita de manipulação de pacotes SMB (exploração CVE-2020-0796) 2406 Alto Movimento lateral
Suspeita de exposição do SPN Kerberos 2410 Alto Acesso a credenciais
Tentativa suspeita de elevação de privilégios Netlogon (exploração CVE-2020-1472) 2411 Alto Elevação de Privilégio
Suspeito de ataque de torrefação AS-REP 2412 Alto Acesso a credenciais
Suspeita de leitura da chave DKM do AD FS 2413 Alto Acesso a credenciais
Exchange Server Execução de Código Remoto (CVE-2021-26855) 2414 Alto Movimento lateral
Tentativa de exploração suspeita no serviço Spooler de Impressão do Windows 2415 Alto ou Médio Movimento lateral
Ligação de rede suspeita através do Protocolo Remoto do Sistema de Ficheiros de Encriptação 2416 Alto ou Médio Movimento lateral
Suspeita de pedido de permissão Kerberos suspeito 2418 Alto Acesso a credenciais
Modificação suspeita de um atributo sAMNameAccount (exploração CVE-2021-42278 e CVE-2021-42287) 2419 Alto Acesso a credenciais
Modificação suspeita da relação de confiança do servidor do AD FS 2420 Médio Elevação de Privilégio
Modificação suspeita de um atributo dNSHostName (CVE-2022-26923) 2421 Alto Elevação de Privilégio
Tentativa suspeita de delegação kerberos por um computador recentemente criado 2422 Alto Elevação de Privilégio
Modificação suspeita do atributo Delegação Restrita Baseada em Recursos por uma conta de computador 2423 Alto Elevação de Privilégio
Autenticação anormal Serviços de Federação do Active Directory (AD FS) (AD FS) com um certificado suspeito 2424 Alto Acesso a credenciais
Utilização suspeita de certificados através do protocolo Kerberos (PKINIT) 2425 Alto Movimento lateral
Suspeita de ataque DFSCoerce com o Protocolo do Sistema de Ficheiros Distribuído 2426 Alto Acesso a credenciais
Atributos de utilizador honeytoken modificados 2427 Alto Persistência
A associação ao grupo Honeytoken foi alterada 2428 Alto Persistência
Honeytoken foi consultado através de LDAP 2429 Baixo Descoberta
Modificação suspeita do AdminSdHolder do domínio 2430 Alto Persistência
Aquisição de conta suspeita com credenciais sombra 2431 Alto Acesso a credenciais
Pedido de certificado do Controlador de Domínio Suspeito (ESC8) 2432 Alto Escalamento de privilégios
Eliminação suspeita das entradas da base de dados de certificados 2433 Médio Evasão da defesa
Desativação suspeita dos filtros de auditoria do AD CS 2434 Médio Evasão da defesa
Modificações suspeitas às permissões/definições de segurança do AD CS 2435 Médio Escalamento de privilégios
Reconhecimento de Enumeração de Conta (LDAP) (Pré-visualização) 2437 Médio Deteção de Conta, Conta de Domínio
Alteração da Palavra-passe do Modo de Restauro dos Serviços de Diretório 2438 Médio Persistência, Manipulação de Conta
Adulteração de Política de Grupo 2440 Médio Evasão da defesa

Observação

Contacte o suporte para desativar os alertas de segurança.

Confira também