Kimlik için Microsoft Defender'de güvenlik uyarıları

  • Makale

Not

Bu sayfada açıklanan deneyime Microsoft Defender XDR'nin bir parçası olarak erişilebilir https://security.microsoft.com .

Kimlik için Microsoft Defender güvenlik uyarıları ağınızdaki Kimlik için Defender algılayıcıları tarafından algılanan şüpheli etkinlikleri ve her tehditte yer alan aktörleri ve bilgisayarları açıklar. Uyarı kanıt listeleri, araştırmalarınızın kolay ve doğrudan yapılmasına yardımcı olmak için ilgili kullanıcılara ve bilgisayarlara doğrudan bağlantılar içerir.

Kimlik için Defender güvenlik uyarıları, tipik bir siber saldırı sonlandırma zincirinde görülen aşamalar gibi aşağıdaki kategorilere veya aşamalara ayrılır. Her aşama, her saldırıyı algılamak için tasarlanmış uyarılar ve aşağıdaki bağlantıları kullanarak ağınızı korumaya yardımcı olmak için uyarıların nasıl kullanılacağı hakkında daha fazla bilgi edinin:

  1. Keşif ve bulma uyarıları
  2. Kalıcılık ve ayrıcalık yükseltme uyarıları
  3. Kimlik bilgisi erişim uyarıları
  4. Yanal hareket uyarıları
  5. Diğer uyarılar

Tüm Kimlik için Defender güvenlik uyarılarının yapısı ve ortak bileşenleri hakkında daha fazla bilgi edinmek için bkz . Güvenlik uyarılarını anlama.

Güvenlik uyarısı adı eşlemesi ve benzersiz dış kimlikler

Aşağıdaki tabloda uyarı adları, karşılık gelen benzersiz dış kimlikler, önem derecesi ve MITRE ATT&CK Matris taktiği™ arasındaki eşleme listelenir. Microsoft, betikler veya otomasyon ile kullanıldığında, yalnızca güvenlik uyarısı dış kimlikleri kalıcı olduğundan ve değiştirilebilir olmadığından uyarı adları yerine uyarı dış kimliklerinin kullanılmasını önerir.

Dış Kimlikler

Güvenlik uyarısı adı Benzersiz dış kimlik Önem MITRE ATT&CK Matrisi™
Şüpheli SID Geçmişi ekleme 1106 Yüksek Ayrıcalık Yükseltme
Karmayı aşmış saldırıdan şüphelenildi (Kerberos) 2002 Medium Yana hareket
Hesap numaralandırma keşfi 2003 Medium Bulma
Şüpheli Deneme Yanılma saldırısı (LDAP) 2004 Medium Kimlik bilgisi erişimi
Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltılmışı) 2006 Yüksek Kimlik bilgisi erişimi, Kalıcılık
Ağ eşleme keşfi (DNS) 2007 Medium Bulma
Karmayı aşmış saldırıdan şüphelenildi (zorlamalı şifreleme türü) 2008 Medium Yana hareket
Şüpheli Altın Anahtar kullanımı (şifreleme düşürme) 2009 Medium Kalıcılık, Ayrıcalık Yükseltme, Yanal hareket
Şüpheli İskelet Anahtarı saldırısı (şifrelemeyi düşürme) 2010 Medium Kalıcılık, Yanal hareket
Kullanıcı ve IP adresi keşfi (SMB) 2012 Medium Bulma
Şüpheli Altın Anahtar kullanımı (sahte yetkilendirme verileri) 2013 Yüksek Kimlik bilgisi erişimi
Honeytoken kimlik doğrulama etkinliği 2014 Medium Kimlik bilgisi erişimi, Bulma
Şüpheli kimlik hırsızlığı (pass-the-hash) 2017 Yüksek Yana hareket
Şüpheli kimlik hırsızlığı (pass-the-ticket) 2018 Yüksek veya Orta Yana hareket
Uzaktan kod yürütme girişimi 2019 Medium Yürütme, Kalıcılık, Ayrıcalık yükseltme, Savunma kaçaması, Yanal hareket
Veri Koruma API'sinin ana anahtarının kötü amaçlı isteği 2020 Yüksek Kimlik bilgisi erişimi
Kullanıcı ve Grup üyeliği keşfi (SAMR) 2021 Medium Bulma
Şüpheli Altın Bilet kullanımı (zaman anomalisi) 2022 Yüksek Kalıcılık, Ayrıcalık Yükseltme, Yanal hareket
Şüpheli Deneme Yanılma saldırısı (Kerberos, NTLM) 2023 Medium Kimlik bilgisi erişimi
Hassas gruplara şüpheli eklemeler 2024 Medium Kalıcılık, Kimlik bilgisi erişimi,
Şüpheli VPN bağlantısı 2025 Medium Savunma kaçamak, Kalıcılık
Şüpheli hizmet oluşturma 2026 Medium Yürütme, Kalıcılık, Ayrıcalık Yükseltme, Savunma kaçamak, Yanal hareket
Şüpheli Altın Bilet kullanımı (var olmayan hesap) 2027 Yüksek Kalıcılık, Ayrıcalık Yükseltme, Yanal hareket
Şüpheli DCShadow saldırısı (etki alanı denetleyicisi yükseltme) 2028 Yüksek Savunma kaçamak
Şüpheli DCShadow saldırısı (etki alanı denetleyicisi çoğaltma isteği) 2029 Yüksek Savunma kaçamak
SMB üzerinden veri sızdırma 2030 Yüksek Sızdırma, Yanal hareket, Komuta ve kontrol
DNS üzerinden şüpheli iletişim 2031 Medium Sızdırma
Şüpheli Altın Bilet kullanımı (bilet anomalisi) 2032 Yüksek Kalıcılık, Ayrıcalık Yükseltme, Yanal hareket
Şüpheli Deneme Yanılma Saldırısı (SMB) 2033 Medium Yana hareket
Metasploit hackleme çerçevesinin şüpheli kullanımı 2034 Medium Yana hareket
Şüpheli WannaCry fidye yazılımı saldırısı 2035 Medium Yana hareket
DNS üzerinden uzaktan kod yürütme 2036 Medium Yanal hareket, Ayrıcalık yükseltme
Şüpheli NTLM geçişi saldırısı 2037 İmzalı NTLM v2 protokolü kullanılarak gözlemlenirse Orta veya Düşük Yanal hareket, Ayrıcalık yükseltme
Güvenlik sorumlusu keşfi (LDAP) 2038 Medium Kimlik bilgisi erişimi
NTLM kimlik doğrulamasında değişiklik olduğundan şüphelenildi 2039 Medium Yanal hareket, Ayrıcalık yükseltme
Şüpheli Altın Bilet kullanımı (RBCD kullanan bilet anomalisi) 2040 Yüksek Kalıcılık
Şüpheli hatalı Kerberos sertifika kullanımı 2047 Yüksek Yana hareket
BronzBit yöntemi kullanılarak şüpheli Kerberos temsil girişimi (CVE-2020-17049 açıktan yararlanma) 2048 Medium Kimlik bilgisi erişimi
Active Directory öznitelikleri keşfi (LDAP) 2210 Medium Bulma
Şüpheli SMB paket işlemesi (CVE-2020-0796 yararlanma) 2406 Yüksek Yana hareket
Kerberos SPN'ye maruz kalma şüphesi 2410 Yüksek Kimlik bilgisi erişimi
Şüpheli Netlogon ayrıcalık yükseltme girişimi (CVE-2020-1472 yararlanma) 2411 Yüksek Ayrıcalık Yükseltme
ŞÜPHELI AS-REP Kavurma saldırısı 2412 Yüksek Kimlik bilgisi erişimi
Şüpheli AD FS DKM anahtarı okundu 2413 Yüksek Kimlik bilgisi erişimi
Exchange Server Uzaktan Kod Yürütme (CVE-2021-26855) 2414 Yüksek Yana hareket
Windows Yazdırma Biriktiricisi hizmetinde şüpheli yararlanma girişimi 2415 Yüksek veya Orta Yana hareket
Şifreleme Dosya Sistemi Uzak Protokolü üzerinden şüpheli ağ bağlantısı 2416 Yüksek veya Orta Yana hareket
Şüpheli Şüpheli Kerberos bilet isteği 2418 Yüksek Kimlik bilgisi erişimi
sAMNameAccount özniteliğinde şüpheli değişiklik (CVE-2021-42278 ve CVE-2021-42287 yararlanma) 2419 Yüksek Kimlik bilgisi erişimi
AD FS sunucusunun güven ilişkisinde şüpheli değişiklik 2420 Medium Ayrıcalık Yükseltme
dNSHostName özniteliğinde şüpheli değişiklik (CVE-2022-26923) 2421 Yüksek Ayrıcalık Yükseltme
Yeni oluşturulan bir bilgisayar tarafından şüpheli Kerberos temsil girişimi 2422 Yüksek Ayrıcalık Yükseltme
Kaynak Tabanlı Kısıtlanmış Temsil özniteliğinin makine hesabı tarafından şüpheli değiştirilmesi 2423 Yüksek Ayrıcalık Yükseltme
Şüpheli sertifika kullanarak anormal Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kimlik doğrulaması 2424 Yüksek Kimlik bilgisi erişimi
Kerberos protokolü (PKINIT) üzerinden şüpheli sertifika kullanımı 2425 Yüksek Yana hareket
Dağıtılmış Dosya Sistemi Protokolü kullanılarak DFSCoerce saldırısı olduğundan şüphelenildi 2426 Yüksek Kimlik bilgisi erişimi
Honeytoken kullanıcı öznitelikleri değiştirildi 2427 Yüksek Kalıcılık
Honeytoken grup üyeliği değiştirildi 2428 Yüksek Kalıcılık
Honeytoken LDAP aracılığıyla sorgulandı 2429 Düşük Bulma
Etki alanı Yönetici SdHolder'da şüpheli değişiklik 2430 Yüksek Kalıcılık
Gölge kimlik bilgilerini kullanarak şüpheli hesap devralma 2431 Yüksek Kimlik bilgisi erişimi
Şüpheli Etki Alanı Denetleyicisi sertifika isteği (ESC8) 2432 Yüksek Ayrıcalık yükseltme
Sertifika veritabanı girdilerinin şüpheli silinmesi 2433 Medium Savunma kaçamak
AD CS denetim filtrelerinin şüpheli devre dışı bırakılması 2434 Medium Savunma kaçamak
AD CS güvenlik izinlerinde/ayarlarında şüpheli değişiklikler 2435 Medium Ayrıcalık yükseltme
Hesap Numaralandırma keşfi (LDAP) (Önizleme) 2437 Medium Hesap Bulma, Etki Alanı Hesabı
Dizin Hizmetleri Geri Yükleme Modu Parola Değişikliği (Önizleme) 2438 Medium Kalıcılık, Hesap Düzenleme
Honeytoken, SAM-R aracılığıyla sorgulandı 2439 Düşük Bulma

Not

Güvenlik uyarılarını devre dışı bırakmak için desteğe başvurun.

Ayrıca bkz: