güvenlik uyarılarını Kimlik için Microsoft Defender

Not

Bu sayfada açıklanan deneyime Microsoft 365 Defender parçası olarak adresinden https://security.microsoft.com erişilebilir.

Kimlik için Microsoft Defender güvenlik uyarıları ağınızdaki Kimlik için Defender algılayıcıları tarafından algılanan şüpheli etkinlikleri ve her bir tehditte yer alan aktörleri ve bilgisayarları açıklar. Uyarı kanıt listeleri, araştırmalarınızın kolay ve doğrudan yapılmasına yardımcı olmak için ilgili kullanıcılara ve bilgisayarlara doğrudan bağlantılar içerir.

Kimlik için Defender güvenlik uyarıları, tipik bir siber saldırı sonlandırma zincirinde görülen aşamalar gibi aşağıdaki kategorilere veya aşamalara ayrılır. Her aşama, her saldırıyı algılamak için tasarlanmış uyarılar ve aşağıdaki bağlantıları kullanarak ağınızı korumaya yardımcı olmak için uyarıların nasıl kullanılacağı hakkında daha fazla bilgi edinin:

  1. Keşif aşaması uyarıları
  2. Güvenliği aşılmış kimlik bilgisi aşaması uyarıları
  3. Yanal hareket aşaması uyarıları
  4. Etki alanı hakimiyeti aşaması uyarıları
  5. Sızdırma aşaması uyarıları

Kimlik için Defender güvenlik uyarılarının yapısı ve ortak bileşenleri hakkında daha fazla bilgi edinmek için bkz. Güvenlik uyarılarını anlama.

Güvenlik uyarısı adı eşlemesi ve benzersiz dış kimlikler

Aşağıdaki tabloda uyarı adları, karşılık gelen benzersiz dış kimlikleri, önem derecesi ve MITRE ATT&CK Matrisi™ taktikleri arasındaki eşleme listelenir. Betikler veya otomasyon ile kullanıldığında, yalnızca güvenlik uyarısı dış kimlikleri kalıcı olduğundan ve değiştirilebilir olmadığından, Microsoft uyarı adları yerine uyarı dış kimliklerinin kullanılmasını önerir.

Dış Kimlikler

Güvenlik uyarısı adı Benzersiz dış kimlik Önem Derecesi MITRE ATT&CK Matrisi™
Karmanın üstünden geçme saldırısı (Kerberos) olduğundan şüphelenildi 2002 Orta Yana hareket
Hesap numaralandırma keşfi 2003 Orta Bulma
Şüpheli Deneme Yanılma saldırısı (LDAP) 2004 Orta Kimlik bilgisi erişimi
DcSync saldırısı olduğundan şüphelenildi (dizin hizmetlerinin çoğaltılmışı) 2006 Yüksek Kalıcılık, Kimlik bilgisi erişimi
Ağ eşleme keşfi (DNS) 2007 Orta Bulma
Şüpheli Altın Anahtar kullanımı (şifreleme eski sürüme düşürme) 2009 Orta Ayrıcalık Yükseltme, YanAl hareket, Kalıcılık
Şüpheli İskelet Anahtarı saldırısı (şifreleme eski sürüme düşürme) 2010 Orta Yanal hareket, Kalıcılık
Kullanıcı ve IP adresi keşfi (SMB) 2012 Orta Bulma
Şüpheli Altın Anahtar kullanımı (sahte yetkilendirme verileri) 2013 Yüksek Ayrıcalık yükseltme, Yanal hareket, Kalıcılık
Honeytoken etkinliği 2014 Orta Kimlik bilgisi erişimi, Bulma
Şüpheli kimlik hırsızlığı (pass-the-hash) 2017 Yüksek Yana hareket
Şüpheli kimlik hırsızlığı (pass-the-ticket) 2018 Yüksek veya Orta Yana hareket
Uzaktan kod yürütme girişimi 2019 Orta Yürütme, Kalıcılık, Ayrıcalık yükseltme, Savunmayı kaçırma, Yanal hareket
Veri Koruma API'sinin ana anahtarının kötü amaçlı isteği 2020 Yüksek Kimlik bilgisi erişimi
Kullanıcı ve Grup üyeliği keşfi (SAMR) 2021 Orta Bulma
Şüpheli Altın Bilet kullanımı (zaman anomalisi) 2022 Yüksek Ayrıcalık Yükseltme, YanAl hareket, Kalıcılık
Şüpheli Deneme Yanılma saldırısı (Kerberos, NTLM) 2023 Orta Kimlik bilgisi erişimi
Hassas gruplara şüpheli eklemeler 2024 Orta Kimlik bilgisi erişimi, Kalıcılık
Şüpheli VPN bağlantısı 2025 Orta Kalıcılık, Savunma kaçamak
Şüpheli hizmet oluşturma 2026 Orta Yürütme, Kalıcılık, Ayrıcalık Yükseltme, Savunma kaçaması, Yanal hareket
Şüpheli Altın Anahtar kullanımı (var olmayan hesap) 2027 Yüksek Ayrıcalık Yükseltme, Yanal hareket, Kalıcılık
Şüpheli DCShadow saldırısı (etki alanı denetleyicisi yükseltme) 2028 Yüksek Savunma kaçamak
Şüpheli DCShadow saldırısı (etki alanı denetleyicisi çoğaltma isteği) 2029 Yüksek Savunma kaçamak
SMB üzerinden veri sızdırma 2030 Yüksek Sızdırma, Yanal hareket, Komuta ve kontrol
DNS üzerinden şüpheli iletişim 2031 Orta Sızdırma
Şüpheli Altın Anahtar kullanımı (bilet anomalisi) 2032 Yüksek Ayrıcalık Yükseltme, Yanal hareket, Kalıcılık
Şüpheli Deneme Yanılma saldırısı (SMB) 2033 Orta Yana hareket
Metasploit hackleme çerçevesinin kullanımından şüphelenildi 2034 Orta Yana hareket
Şüpheli WannaCry fidye yazılımı saldırısı 2035 Orta Yana hareket
DNS üzerinden uzaktan kod yürütme 2036 Orta Ayrıcalık yükseltme, yanal hareket
Şüpheli NTLM geçişi saldırısı 2037 İmzalı NTLM v2 protokolü kullanılarak gözlemlenirse Orta veya Düşük Ayrıcalık yükseltme, yanal hareket
Güvenlik sorumlusu keşfi (LDAP) 2038 Orta Kimlik bilgisi erişimi
NtLM kimlik doğrulamasında değişiklik olduğundan şüphelenildi 2039 Orta Ayrıcalık yükseltme, yanal hareket
Şüpheli Altın Anahtar kullanımı (RBCD kullanan bilet anomalisi) 2040 Yüksek Kalıcılık
Şüpheli hatalı Kerberos sertifika kullanımı 2047 Yüksek Yana hareket
Active Directory öznitelikleri keşfi (LDAP) 2210 Orta Bulma
Şüpheli SMB paket işlemesi (CVE-2020-0796 kötüye kullanımı) - (önizleme) 2406 Yüksek Yana hareket
Şüpheli Kerberos SPN açığa çıkarma (dış kimlik 2410) 2410 Yüksek Kimlik bilgisi erişimi
Şüpheli Netlogon ayrıcalık yükseltme girişimi (CVE-2020-1472 yararlanma) 2411 Yüksek Ayrıcalık Yükseltme
ŞÜPHELI AS-REP Kavurma saldırısı 2412 Yüksek Kimlik bilgisi erişimi
Exchange Server Uzaktan Kod Yürütme (CVE-2021-26855) 2414 Yüksek Yana hareket
Windows Yazdırma Biriktiricisi hizmetinde şüpheli yararlanma girişimi 2415 Yüksek veya Orta Yana hareket
Şifreleme Dosya Sistemi Uzak Protokolü üzerinden şüpheli ağ bağlantısı 2416 Yüksek veya Orta Yana hareket
sAMNameAccount özniteliğinin şüpheli değiştirilmesi (CVE-2021-42278 ve CVE-2021-42287 açıklarından yararlanma) 2419 Yüksek Kimlik bilgisi erişimi

Not

Güvenlik uyarılarını devre dışı bırakmak için desteğe başvurun.

Ayrıca Bkz.