Microsoft Defender for Identity 安全警报

注意

此页中所述的体验可作为Microsoft 365 Defender的一部分进行访问https://security.microsoft.com

Microsoft Defender for Identity安全警报说明了 Defender for Identity 传感器在网络上检测到的可疑活动,以及参与每个威胁的参与者和计算机。 警报证据列表包含指向相关用户和计算机的直接链接,有助于简单直接地进行调查。

Defender for Identity 安全警报分为以下类别或阶段,如典型的网络攻击杀伤链中看到的阶段。 了解有关每个阶段,旨在检测每次攻击的警报,以及如何使用警报通过以下链接来帮助保护网络的详细信息:

  1. 侦查阶段警报
  2. 凭据泄露阶段警报
  3. 横向移动阶段警报
  4. 域控制阶段警报
  5. 泄露阶段警报

若要详细了解所有 Defender for Identity 安全警报的结构和常见组件,请参阅 了解安全警报

安全警报名称映射和唯一外部 ID

下表列出了警报名称、其相应的唯一外部 ID、严重性和 MITRE ATT&CK 矩阵™策略之间的映射。 与脚本或自动化一起使用时,Microsoft 建议使用警报外部 ID 而不使用警报名称,因为只有安全警报外部 ID 是永久的且不会更改。

外部 ID

安全警报名称 唯一外部 ID 严重性 MITRE ATT&CK 矩阵™
可疑哈希传递攻击 (Kerberos) 2002 中型 横向移动
帐户枚举侦查 2003 中型 发现
可疑暴力攻击 (LDAP) 2004 中型 凭据访问
可疑 DCSync 攻击(目录服务复制) 2006 持久性、凭据访问
网络映射侦查 (DNS) 2007 中型 发现
可疑黄金票证使用(加密降级) 2009 中型 特权提升、横向移动、持久性
可疑万能钥匙攻击(加密降级) 2010 中型 横向移动、持久性
用户和 IP 地址侦查 (SMB) 2012 中型 发现
可疑黄金票证使用(伪造的授权数据) 2013 特权提升、横向移动、持久性
蜜标活动 2014 中型 凭据访问、发现
可疑身份盗用(哈希传递) 2017 横向移动
可疑身份盗用(票证传递) 2018 高或中 横向移动
远程执行代码尝试 2019 中型 执行、持久性、特权升级、防御逃避、横向移动
数据保护 API 主密钥的恶意请求 2020 凭据访问
用户和组成员身份侦查 (SAMR) 2021 中型 发现
可疑黄金票证使用(时间异常) 2022 特权提升、横向移动、持久性
可疑暴力攻击(Kerberos、NTLM) 2023 中型 凭据访问
敏感组的可疑新增内容 2024 中型 凭据访问、持久性
可疑 VPN 连接 2025 中型 持久性、防御逃避
可疑服务创建 2026 中型 执行、持久性、特权升级、防御逃避、横向移动
可疑黄金票证使用(帐户不存在) 2027 特权提升、横向移动、持久性
可疑 DCShadow 攻击(域控制器提升) 2028 防御规避
可疑 DCShadow 攻击(域控制器复制请求) 2029 防御规避
通过 SMB 的数据泄露 2030 外泄、横向移动、命令和控制
通过 DNS 的可疑通信 2031 中型 泄露
可疑黄金票证使用(票证异常) 2032 特权提升、横向移动、持久性
可疑暴力攻击 (SMB) 2033 中型 横向移动
可疑的 Metasploit 黑客框架使用 2034 中型 横向移动
可疑的 WannaCry 勒索软件攻击 2035 中型 横向移动
DNS 上的远程执行代码 2036 中型 特权提升,横向移动
可疑 NTLM 中继攻击 2037 中或低(如果使用已签名的 NTLM v2 协议进行观察) 特权提升,横向移动
安全主体侦查 (LDAP) 2038 中型 凭据访问
可疑 NTLM 身份验证篡改 2039 中型 特权提升,横向移动
可疑黄金票证使用(使用 RBCD 的票证异常) 2040 持久性
可疑未授权 Kerberos 证书使用 2047 横向移动
Active Directory 属性侦查 (LDAP) 2210 中型 发现
可疑的 SMB 数据包操作(CVE-2020-0796 漏洞)-(预览) 2406 横向移动
可疑的 Kerberos SPN 公开(外部 ID 2410) 2410 凭据访问
可疑 Netlogon 特权提升尝试(CVE-2020-1472 利用) 2411 特权提升
可疑的 AS-REP Roasting 攻击 2412 凭据访问
Exchange Server 远程代码执行 (CVE-2021-26855) 2414 横向移动
对 Windows 打印后台处理程序服务的可疑利用尝试 2415 高或中 横向移动
加密文件系统远程协议上的可疑网络连接 2416 高或中 横向移动
对 sAMNameAccount 属性的可疑修改 (CVE-2021-42278 和 CVE-2021-42287 攻击) 2419 凭据访问

注意

禁用任何安全警报,请联系支持人员。

另请参阅