適用於身分識別的 Microsoft Defender安全性警示

注意

此頁面所述的體驗可以在 Microsoft 365 Defender 中存取 https://security.microsoft.com

適用於身分識別的 Microsoft Defender安全性警示說明您網路上適用于身分識別的 Defender 偵測到的可疑活動,以及涉及每個威脅的動作專案和電腦。 包含涉及使用者和電腦直接連結的警示辨識項清單,可協助您輕易且直接地進行調查。

適用于身分識別的 Defender 安全性警示分成下列類別或階段,例如一般網路攻擊終止鏈中所見的階段。 使用下列連結,深入了解設計來偵測每個攻擊的各階段警示,以及如何使用這些警示來協助保護您的網路:

  1. 偵察階段警示
  2. 遭入侵的認證階段警示
  3. 橫向移動階段警示
  4. 網域支配階段警示
  5. 外洩階段警訊

若要深入瞭解適用于身分識別的所有 Defender 安全性警示的結構和萬用群組件,請參閱 瞭解安全性警示

安全性警示名稱對應和唯一的外部識別碼

下表列出警示名稱、其對應的唯一外部識別碼、嚴重性和 MITRE ATT & CK 矩陣™策略之間的對應。 搭配指令碼或自動化使用時,Microsoft 建議使用警示外部識別碼來取代警示名稱,因為只有安全性警示外部識別碼具有永久性且不會變更。

外部識別碼

安全性警訊名稱 唯一外部識別碼 嚴重性 MITRE ATT & CK 矩陣™
可疑的 Overpass-the-Hash 攻擊 (Kerberos) 2002 中型 橫向移動
帳戶列舉偵察 2003 中型 探索
可疑的暴力密碼破解攻擊 (LDAP) 2004 中型 認證存取
可疑的 DCSync 攻擊 (目錄服務的複寫) 2006 持續性、認證存取
網路對應偵察 (DNS) 2007 中型 探索
可疑的黃金票證使用 (加密降級) 2009 中型 許可權提升、橫向移動、持續性
可疑的基本結構金鑰攻擊 (加密降級) 2010 中型 橫向移動、持續性
使用者和 IP 位址偵察 (SMB) 2012 中型 探索
可疑的黃金票證使用 (偽造的授權資料) 2013 許可權提升、橫向移動、持續性
Honeytoken 活動 2014 中型 認證存取、探索
可疑的身分識別竊取 (雜湊傳遞) 2017 橫向移動
可疑的身分識別竊取 (票證傳遞) 2018 高或中 橫向移動
遠端程式碼執行嘗試 2019 中型 執行、持續性、許可權提升、防禦規避、橫向移動
資料保護 API 主要金鑰的惡意要求 2020 認證存取
SAMR (使用者和群組成員資格偵察) 2021 中型 探索
可疑的黃金票證使用 (時間異常) 2022 許可權提升、橫向移動、持續性
可疑的暴力密碼破解攻擊 (Kerberos、NTLM) 2023 中型 認證存取
敏感性群組的可疑新增項目 2024 中型 認證存取、持續性
可疑的 VPN 連線 2025 中型 持續性、防禦規避
可疑的服務建立 2026 中型 執行、持續性、許可權提升、防禦規避、橫向移動
可疑的黃金票證使用 (不存在的帳戶) 2027 許可權提升、橫向移動、持續性
可疑的 DCShadow 攻擊 (網域控制站升級) 2028 防禦躲避
可疑的 DCShadow 攻擊 (網域控制站複寫要求) 2029 防禦躲避
透過 SMB 的資料外流 2030 外泄、橫向移動、命令和控制
透過 DNS 的可疑通訊 2031 中型 外流
可疑的黃金票證使用 (票證異常) 2032 許可權提升、橫向移動、持續性
可疑的暴力密碼破解攻擊 (SMB) 2033 中型 橫向移動
可疑的 Metasploit 入侵架構使用 2034 中型 橫向移動
可疑的 WannaCry 勒索軟體攻擊 2035 中型 橫向移動
透過 DNS 執行遠端程式碼 2036 中型 許可權提升、橫向移動
可疑的 NTLM 轉送攻擊 2037 中或低 (如果觀察到使用簽署的 NTLM v2 通訊協定) 許可權提升、橫向移動
安全性主體偵察 (LDAP) 2038 中型 認證存取
可疑的 NTLM 驗證竄改 2039 中型 許可權提升、橫向移動
可疑的黃金票證使用方式 (使用 RBCD 的票證異常) 2040 持續性
可疑的流氓 Kerberos 憑證使用方式 2047 橫向移動
Active Directory 屬性偵察 (LDAP) 2210 中型 探索
可疑的 SMB 封包操作 (CVE-2020-0796 惡意探索) - (預覽) 2406 橫向移動
可疑的 Kerberos SPN 公開 (外部識別碼 2410) 2410 認證存取
可疑的 Netlogon 權限提升嘗試 (CVE-2020-1472 惡意探索) 2411 權限升級
可疑的 AS-REP 擷取攻擊 2412 認證存取
Exchange Server遠端程式碼執行 (CVE-2021-26855) 2414 橫向移動
Windows Print Spooler 服務的可疑惡意探索嘗試 2415 高或中 橫向移動
透過加密檔案系統遠端通訊協定的可疑網路連線 2416 高或中 橫向移動
SAMNameAccount 屬性的可疑修改 (CVE-2021-42278 和 CVE-2021-42287 惡意探索) 2419 認證存取

注意

若要停用任何安全性警示,請連絡支援人員。

另請參閱