Kimlik için Microsoft Defender'de güvenlik uyarıları

Kimlik için Microsoft Defender güvenlik uyarıları nelerdir?

Kimlik için Microsoft Defender güvenlik uyarıları ağınızdaki Kimlik için Defender algılayıcıları tarafından algılanan şüpheli etkinlikler ve her tehditte yer alan aktörler ve bilgisayarlar hakkında bilgi sağlar. Uyarı kanıt listeleri, araştırmalarınızın kolay ve doğrudan yapılmasına yardımcı olmak için ilgili kullanıcılara ve bilgisayarlara doğrudan bağlantılar içerir.

Not

Kimlik için Defender, algılayıcının yüklü olduğu sunuculardaki her bir işlemi veya etkinliği yakalayan bir denetim veya günlük çözümü olarak görev yapmak üzere tasarlanmamıştır. Yalnızca algılama ve öneri mekanizmaları için gereken verileri yakalar.

Kimlik uyarıları sayfası, etki alanları arası sinyal zenginleştirme ve otomatik kimlik yanıt özellikleri sağlar. Microsoft Defender XDR ile uyarıları araştırmanın avantajı, Kimlik için Microsoft Defender uyarıların paketteki diğer ürünlerin her birinden alınan bilgilerle ilişkilendirilmesidir. Bu gelişmiş uyarılar, Office 365 için Microsoft Defender ve Uç Nokta için Microsoft Defender kaynaklı diğer Microsoft Defender XDR uyarı biçimleriyle tutarlıdır.

Kimlik için Defender'dan kaynaklanan uyarılar, uyarıları otomatik olarak düzeltme ve şüpheli etkinliğe katkıda bulunabilecek araç ve işlemlerin azaltılması da dahil olmak üzere otomatik araştırma ve yanıt (AIR) özelliklerini Microsoft Defender XDR tetikler.

Kimlik için Microsoft Defender uyarıları şu anda Microsoft Defender XDR portalında iki farklı düzende görünür. Uyarı görünümlerinde farklı bilgiler gösterilebilir ancak tüm uyarılar, Kimlik için Defender algılayıcılarından gelen algılamaları temel alır. Gösterilen düzen ve bilgi farklılıkları, Microsoft Defender ürünler arasında birleşik bir uyarı deneyimine devam eden geçişin bir parçasıdır.

Daha fazla bilgi için bkz. Güvenlik uyarılarını görüntüleme ve yönetme.

Uyarı kategorileri

Kimlik için Defender güvenlik uyarıları, tipik bir siber saldırı sonlandırma zincirinde görülen aşamalar gibi aşağıdaki kategorilere veya aşamalara ayrılır. Her aşama, her saldırıyı algılamak için tasarlanmış uyarılar ve aşağıdaki bağlantıları kullanarak ağınızın korunmasına yardımcı olmak için uyarıların nasıl kullanılacağı hakkında daha fazla bilgi edinin:

1. Keşif ve bulma uyarıları
2. Kalıcılık ve ayrıcalık yükseltme uyarıları
3. Kimlik bilgisi erişim uyarıları
4. Yanal hareket uyarıları
5. Diğer uyarılar

Güvenlik uyarılarını benzersiz dış kimlik ve MITRE ATT&CK Matris taktikleriyle eşleme

Aşağıdaki tabloda uyarı adları, karşılık gelen benzersiz dış kimlikleri, önem dereceleri ve CK Matris taktiği™&MITRE ATT'leri arasındaki eşleme listelenir. Betikler veya otomasyon ile kullanıldığında, Yalnızca güvenlik uyarısı dış kimlikleri kalıcı olduğundan ve değiştirilebilir olmadığından, Microsoft uyarı adları yerine uyarı dış kimliklerinin kullanılmasını önerir.

Güvenlik uyarısı adı	Benzersiz dış kimlik	Önem derecesi	MITRE ATT&CK Matrisi™
Şüpheli SID-History enjeksiyonu	1106	Yüksek	Ayrıcalık Yükseltme
Karma üst geçit saldırısı (Kerberos) olduğundan şüphelenildi	2002	Orta	Yanal hareket
Hesap numaralandırma keşfi	2003	Orta	Keşif
Şüpheli Deneme Yanılma saldırısı (LDAP)	2004	Orta	Kimlik bilgisi erişimi
Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltılmışı)	2006	Yüksek	Kimlik bilgisi erişimi, Kalıcılık
Ağ eşleme keşfi (DNS)	2007	Orta	Keşif
Karmayı aşırı geçirme saldırısı olduğundan şüphelenildi (zorlamalı şifreleme türü)	2008	Orta	Yanal hareket
Altın Anahtar kullanımından şüphelenilenler (şifrelemeyi düşürme)	2009	Orta	Kalıcılık, Ayrıcalık Yükseltme, YanAl hareket
Şüpheli İskelet Anahtarı saldırısı (şifrelemeyi düşürme)	2010	Orta	Kalıcılık, Yanal hareket
Kullanıcı ve IP adresi keşfi (SMB)	2012	Orta	Keşif
Şüpheli Altın Bilet kullanımı (sahte yetkilendirme verileri)	2013	Yüksek	Kimlik bilgisi erişimi
Honeytoken kimlik doğrulama etkinliği	2014	Orta	Kimlik bilgisi erişimi, Bulma
Şüpheli kimlik hırsızlığı (karma geçiş)	2017	Yüksek	Yanal hareket
Şüpheli kimlik hırsızlığı (pass-the-ticket)	2018	Yüksek veya Orta	Yanal hareket
Uzaktan kod yürütme girişimi	2019	Orta	Yürütme, Kalıcılık, Ayrıcalık yükseltme, Savunma kaçaması, Yanal hareket
Veri Koruma API'sinin ana anahtarının kötü amaçlı isteği	2020	Yüksek	Kimlik bilgisi erişimi
Kullanıcı ve Grup üyeliği keşfi (SAMR)	2021	Orta	Keşif
Şüpheli Altın Bilet kullanımı (zaman anomalisi)	2022	Yüksek	Kalıcılık, Ayrıcalık Yükseltme, YanAl hareket
Şüpheli Deneme Yanılma saldırısı (Kerberos, NTLM)	2023	Orta	Kimlik bilgisi erişimi
Hassas gruplara şüpheli eklemeler	2024	Orta	Kalıcılık, Kimlik bilgisi erişimi,
Şüpheli VPN bağlantısı	2025	Orta	Savunmadan kaçınma, Kalıcılık
Şüpheli hizmet oluşturma	2026	Orta	Yürütme, Kalıcılık, Ayrıcalık Yükseltme, Savunma kaçaması, Yanal hareket
Altın Bilet kullanımından şüphelenilen (var olmayan hesap)	2027	Yüksek	Kalıcılık, Ayrıcalık Yükseltme, YanAl hareket
Şüpheli DCShadow saldırısı (etki alanı denetleyicisi yükseltme)	2028	Yüksek	Savunma kaçamak
Şüpheli DCShadow saldırısı (etki alanı denetleyicisi çoğaltma isteği)	2029	Yüksek	Savunma kaçamak
SMB üzerinden veri sızdırma	2030	Yüksek	Sızdırma, Yanal hareket, Komuta ve kontrol
DNS üzerinden şüpheli iletişim	2031	Orta	Sızdırma
Şüpheli Altın Bilet kullanımı (bilet anomalisi)	2032	Yüksek	Kalıcılık, Ayrıcalık Yükseltme, YanAl hareket
Şüpheli Deneme Yanılma saldırısı (SMB)	2033	Orta	Yanal hareket
Metasploit hackleme çerçevesinin kullanımından şüphelenilenler	2034	Orta	Yanal hareket
Şüpheli WannaCry fidye yazılımı saldırısı	2035	Orta	Yanal hareket
DNS üzerinden uzaktan kod yürütme	2036	Orta	Yanal hareket, Ayrıcalık yükseltme
Şüpheli NTLM geçişi saldırısı	2037	İmzalı NTLM v2 protokolü kullanılarak gözlemlenirse Orta veya Düşük	Yanal hareket, Ayrıcalık yükseltme
Güvenlik sorumlusu keşfi (LDAP)	2038	Yüksek (çözüm sorunları veya Belirli Bir Araç algılandı durumunda) ve Orta	Kimlik bilgisi erişimi
NTLM kimlik doğrulamasında değişiklik olduğundan şüphelenildi	2039	Orta	Yanal hareket, Ayrıcalık yükseltme
Şüpheli Altın Bilet kullanımı (RBCD kullanan bilet anomalisi)	2040	Yüksek	Devamlılık
Hatalı Kerberos sertifika kullanımından şüphelenildi	2047	Yüksek	Yanal hareket
BronzeBit yöntemini kullanarak şüpheli Kerberos temsil girişimi (CVE-2020-17049 açıktan yararlanma)	2048	Orta	Kimlik bilgisi erişimi
Active Directory öznitelikleri keşfi (LDAP)	2210	Orta	Keşif
Şüpheli SMB paket işlemesi (CVE-2020-0796 yararlanma)	2406	Yüksek	Yanal hareket
Şüpheli Kerberos SPN'leri açığa çıkarma	2410	Yüksek	Kimlik bilgisi erişimi
Şüpheli Netlogon ayrıcalık yükseltme girişimi (CVE-2020-1472 yararlanma)	2411	Yüksek	Ayrıcalık Yükseltme
ŞÜPHELI AS-REP Kavurma saldırısı	2412	Yüksek	Kimlik bilgisi erişimi
Şüpheli AD FS DKM anahtarı okuma	2413	Yüksek	Kimlik bilgisi erişimi
Exchange Server Uzaktan Kod Yürütme (CVE-2021-26855)	2414	Yüksek	Yanal hareket
Windows Yazdırma Biriktiricisi hizmetinde şüpheli yararlanma girişimi	2415	Yüksek veya Orta	Yanal hareket
Şifreleme Dosya Sistemi Uzak Protokolü üzerinden şüpheli ağ bağlantısı	2416	Yüksek veya Orta	Yanal hareket
Şüpheli Kerberos bilet isteği	2418	Yüksek	Kimlik bilgisi erişimi
sAMNameAccount özniteliğinin şüpheli değiştirilmesi (CVE-2021-42278 ve CVE-2021-42287 yararlanma)	2419	Yüksek	Kimlik bilgisi erişimi
AD FS sunucusunun güven ilişkisinde şüpheli değişiklik	2420	Orta	Ayrıcalık Yükseltme
dNSHostName özniteliğinin şüpheli değişikliği (CVE-2022-26923)	2421	Yüksek	Ayrıcalık Yükseltme
Yeni oluşturulan bir bilgisayar tarafından yapılan şüpheli Kerberos temsil girişimi	2422	Yüksek	Ayrıcalık Yükseltme
Kaynak Tabanlı Kısıtlanmış Temsil özniteliğinin bir makine hesabı tarafından şüpheli değiştirilmesi	2423	Yüksek	Ayrıcalık Yükseltme
Şüpheli bir sertifika kullanarak anormal Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kimlik doğrulaması	2424	Yüksek	Kimlik bilgisi erişimi
Kerberos protokolü (PKINIT) üzerinden şüpheli sertifika kullanımı	2425	Yüksek	Yanal hareket
Dağıtılmış Dosya Sistemi Protokolü kullanılarak DFSCoerce saldırısı olduğundan şüphelenildi	2426	Yüksek	Kimlik bilgisi erişimi
Honeytoken kullanıcı öznitelikleri değiştirildi	2427	Yüksek	Devamlılık
Honeytoken grup üyeliği değişti	2428	Yüksek	Devamlılık
Honeytoken LDAP aracılığıyla sorgulandı	2429	Alçak	Keşif
Etki alanı AdminSdHolder'da şüpheli değişiklik	2430	Yüksek	Devamlılık
Gölge kimlik bilgilerini kullanarak şüpheli hesap devralma	2431	Yüksek	Kimlik bilgisi erişimi
Şüpheli Etki Alanı Denetleyicisi sertifika isteği (ESC8)	2432	Yüksek	Ayrıcalık yükseltme
Sertifika veritabanı girdilerinin şüpheli silinmesi	2433	Orta	Savunma kaçamak
AD CS'nin denetim filtrelerinin şüpheli devre dışı bırakılması	2434	Orta	Savunma kaçamak
AD CS güvenlik izinlerinde/ayarlarında şüpheli değişiklikler	2435	Orta	Ayrıcalık yükseltme
Hesap Numaralandırması keşfi (LDAP) ( Önizleme)	2437	Orta	Hesap Bulma, Etki Alanı Hesabı
Dizin Hizmetleri Geri Yükleme Modu Parola Değişikliği	2438	Orta	Kalıcılık, Hesap Düzenleme
grup ilkesi Kurcalama	2440	Orta	Savunma kaçamak

Not

Güvenlik uyarılarını devre dışı bırakmak için desteğe başvurun.

Ayrıca Bkz

• Güvenlik uyarılarını görüntüleme ve yönetme
• Güvenlik uyarılarını araştırma
• Kimlik için Defender forumunu inceleyin!