了解安全警报

Microsoft Defender for Identity 安全警报以清晰的语言和图形说明在你的网络上发现了哪些可疑活动,以及参与威胁的参与者和计算机。 警报根据严重性进行分级,按颜色编码以便于可视化筛选,并按威胁阶段进行整理。 每个警报都旨在帮助你快速准确理解网络上发生的事件。 警报证据列表包含到相关用户和计算机的直接链接,以帮助使调查变得简单直接。

在本文章中,你将了解 Defender for Identity 安全警报的结构以及如何使用。

  • 安全警报结构
  • 安全警报分类
  • 安全警报类别
  • 高级安全警报调查
  • 相关实体
  • Defender for Identity 和 NNR(网络名称解析)

安全警报结构

每个 Defender for Identity 安全警报都包含一个警报故事。 警报故事是指按时间顺序与此警报关联的事件链,以及与警报关联的其他重要信息。

在“警报”页上,可以执行以下操作:

  • 管理警报 - 更改警报的状态、分配和分类。 也可在此添加注释。

  • 导出 - 下载详细的 Excel 报表进行分析

  • 将警报链接到另一个事件 - 将警报链接至新的现有事件

    Defender for Identity 安全警报结构

有关警报的详细信息,请参阅:调查 Microsoft Defender XDR 中的警报

安全警报分类

经过适当的调查后,所有 Defender for Identity 安全警报可分为以下活动类型之一:

  • 真阳性 (TP):Defender for Identity 检测到的恶意操作。

  • 良性真阳性 (B-TP):Defender for Identity 检测到的真实但非恶意的操作,如渗透测试或已批准的应用程序生成的已知活动。

  • 假阳性 (FP):假警报,表示并未发生此活动。

安全警报是 TP、B-TP 还是 FP

对于每个警报,请提出以下问题以确定警报分类,并帮助决定下一步要做什么:

  1. 这种特定的安全警报在你的环境中有多常见?
  2. 警报是由相同类型的计算机或用户触发的吗? 例如,具有相同角色的服务器或来自同一组/部门的用户? 如果计算机或用户相似,你可以决定将其排除在外,以避免将来出现其他 FP 警报。

注意

完全相同类型的警报越多,通常会降低警报的可疑/重要性级别。 对于重复的警报,请验证配置,并使用安全警报详细信息和定义来准确理解触发重复的情况。

安全警报类别

Defender for Identity 安全警报分为以下类别或阶段,如典型的网络攻击杀伤链中的阶段。 使用以下链接,了解有关每个阶段以及用于检测每次攻击的警报的更多信息:

高级安全警报调查

要获取有关安全警报的更多详细信息,请在警报详细信息页面上选择导出以下载详细的 Excel 警报报告。

下载的文件包括有关第一个选项卡上警报的摘要详细信息,包括:

  • 标题
  • 说明
  • 开始时间(UTC)
  • 结束时间 (UTC)
  • 严重性 – 低/中/高
  • 状态 - 打开/关闭
  • 状态更新时间 (UTC)
  • 在浏览器中查看

列出所有涉及的实体,包括帐户、计算机和资源,并按其角色分隔。 根据警报,为源、目标或受攻击实体提供详细信息。

大多数选项卡包含每个实体的以下数据:

  • 名称

  • 详细信息

  • 类型

  • SamName

  • 源计算机

  • 源用户(如果可用)

  • 域控制器

  • 访问的资源:时间、计算机、名称、详细信息、类型、服务。

  • 关联的实体:ID、类型、名称、唯一实体 Json、唯一实体配置文件 Json

  • Defender for Identity 传感器捕获的与警报关联的所有原始活动(网络或事件活动),包含:

    • 网络活动
    • 事件活动

某些警报具有额外的选项卡,例如有关以下内容的详细信息:

  • 被攻击的帐户(如果疑似攻击使用了暴力破解)。
  • 域名系统 (DNS) 服务器(如果疑似攻击涉及网络映射侦查 (DNS))。

例如:

所涉实体。

每个警报中的最后一个选项卡提供了关联的实体。 关联的实体是指参与可疑活动的所有实体,不区分其在警报中所扮演的“角色”。 每个实体都有两个 Json 文件,即唯一实体 Json 和唯一实体配置文件 Json。 使用这两个 Json 文件可以了解有关实体的更多信息,并帮助你调查警报。

唯一实体 Json 文件

包含从 Active Directory 了解到的有关帐户的数据 Defender for Identity。 其中包含所有属性,如可分辨名称SIDLockoutTimePasswordExpiryTime。 对于用户帐户,包含部门邮件PhoneNumber 等数据。 对于计算机帐户,包含 OperatingSystemIsDomainControllerDnsName 等数据。

唯一实体配置文件 Json 文件

包含对实体配置的所有数据 Defender for Identity。 Defender for Identity 使用捕获的网络和事件活动来了解环境的用户和计算机。 每个实体的 Defender for Identity 配置文件相关信息。 这些信息有助于 Defender for Identity 的威胁标识功能。

相关实体。

如何在调查中使用 Defender for Identity 信息?

调查可以根据需要进行详细调查。 以下是使用 Defender for Identity 提供的数据调查的一些想法。

  • 检查所有关联的用户是否属于同一组或部门。
  • 关联的用户是否共享资源、应用程序或计算机?
  • 帐户是否处于活动状态,即使其 PasswordExpiryTime 已经过期?

Defender for Identity 和 NNR(网络名称解析)

Defender for Identity 检测功能依赖于活动的网络名称解析 (NNR) 将 IP 解析到组织中的计算机。 使用 NNR,Defender for Identity 能够在原始活动(包含 IP 地址)和每个活动中涉及的相关计算机之间进行关联。 Defender for Identity 能够根据原始活动对实体(包含计算机)进行配置并生成警报。

NNR 数据对于检测以下警报至关重要:

  • 可疑的身份盗用(pass-the-ticket)
  • 可疑的 DCSync 攻击(目录服务复制)
  • 网络映射侦查 (DNS)

使用警报下载报告的网络活动选项卡中提供的 NNR 信息,确定警报是否为 FP。 对于 FP 警报,通常给出 NNR 确定性结果的置信度较低。

下载报表数据显示在两列中:

  • 源/目标计算机

    • 确定性 – 解析确定性低可能表示名称解析不正确。
  • 源/目标计算机

    • 解析方法 – 提供用于将 IP 解析到组织中的计算机的 NNR 方法。

网络活动。

有关如何使用 Defender for Identity 安全警报的更多信息,请参阅使用安全警报