適用於身分識別的 Microsoft Defender 中的安全性警示

注意

此頁面所述的體驗可https://security.microsoft.com做為 Microsoft Defender 全面偵測回應 的一部分存取。

適用於身分識別的 Microsoft Defender 安全性警示說明網路上適用於身分識別的 Defender 感測器偵測到的可疑活動，以及參與每個威脅的動作項目和計算機。 警示辨識項清單包含與相關使用者和計算機的直接連結，可協助您輕鬆且直接地進行調查。

適用於身分識別的 Defender 安全性警示分為下列類別或階段，例如典型的網路攻擊終止鏈結中所見的階段。 深入瞭解每個階段、設計來偵測每個攻擊的警示，以及如何使用警示來協助使用下列連結保護您的網路：

1. 偵察和探索警示
2. 持續性和許可權提升警示
3. 認證存取警示
4. 橫向移動警示
5. 其他警示

若要深入瞭解所有適用於身分識別的 Defender 安全性警示的結構和常見元件，請參閱 瞭解安全性警示。

安全性警示名稱對應和唯一的外部標識碼

下表列出警示名稱、其對應的唯一外部標識碼、其嚴重性，以及其 MITRE ATT&CK 矩陣™策略之間的對應。 搭配腳本或自動化使用時，Microsoft 建議使用警示外部標識碼來取代警示名稱，因為只有安全性警示外部標識符是永久性的，而且不會變更。

外部標識碼

安全性警示名稱	唯一的外部標識碼	嚴重性	MITRE ATT&CK 矩陣 ™
可疑的 SID 歷程記錄插入	1106	高	權限提升
可疑的 Overpass-the-hash 攻擊 （Kerberos）	2002	中	橫向移動
帳戶列舉偵察	2003	中	探索
可疑的暴力密碼破解攻擊 （LDAP）	2004	中	認證存取
可疑的 DCSync 攻擊 （目錄服務的複寫）	2006	高	認證存取、持續性
網路對應偵察 （DNS）	2007	中	探索
可疑的傳遞哈希攻擊 （強制加密類型）	2008	中	橫向移動
可疑的黃金票證使用方式 （加密降級）	2009	中	持續性、許可權提升、橫向移動
可疑的基本架構金鑰攻擊 （加密降級）	2010	中	持續性、橫向移動
使用者和 IP 位址偵察 （SMB）	2012	中	探索
可疑的黃金票證使用 （偽造授權數據）	2013	高	認證存取
Honeytoken 驗證活動	2014	中	認證存取、探索
可疑的身分識別竊取 （傳遞哈希）	2017	高	橫向移動
可疑的身分識別竊取（票證）	2018	高或中	橫向移動
遠端程式代碼執行嘗試	2019	中	執行、持續性、許可權提升、防禦逃避、橫向移動
數據保護 API 主要金鑰的惡意要求	2020	高	認證存取
使用者和群組成員資格偵察 （SAMR）	2021	中	探索
可疑的黃金票證使用 （時間異常）	2022	高	持續性、許可權提升、橫向移動
可疑的暴力密碼破解攻擊 （Kerberos， NTLM）	2023	中	認證存取
敏感性群組的可疑新增專案	2024	中	持續性、認證存取、
可疑的 VPN 連線	2025	中	防禦逃避，持續性
可疑的服務建立	2026	中	執行、持續性、許可權提升、防禦逃避、橫向移動
可疑的黃金票證使用 （不存在的帳戶）	2027	高	持續性、許可權提升、橫向移動
可疑的DCShadow攻擊 （域控制器升級）	2028	高	防禦規避
可疑的DCShadow攻擊 （域控制器複寫要求）	2029	高	防禦規避
透過SMB的數據外流	2030	高	外洩、橫向移動、命令和控制
透過 DNS 的可疑通訊	2031	中	外流
可疑的黃金票證使用 （票證異常）	2032	高	持續性、許可權提升、橫向移動
可疑的暴力密碼破解攻擊 （SMB）	2033	中	橫向移動
可疑使用 Metasploit 駭客架構	2034	中	橫向移動
可疑的 WannaCry 勒索軟體攻擊	2035	中	橫向移動
透過 DNS 執行遠端程式代碼	2036	中	橫向移動、許可權提升
可疑的NTLM轉送攻擊	2037	如果使用已簽署的NTLM v2通訊協議觀察到，則為中或低	橫向移動、許可權提升
安全性主體偵察 （LDAP）	2038	中	認證存取
可疑的NTLM驗證竄改	2039	中	橫向移動、許可權提升
可疑的黃金票證使用 （使用 RBCD 的票證異常）	2040	高	持續性
可疑的 Rogue Kerberos 憑證使用方式	2047	高	橫向移動
可疑的 Kerberos 委派嘗試使用 BronzeBit 方法 （CVE-2020-17049 惡意探索）	2048	中	認證存取
Active Directory 屬性偵察 （LDAP）	2210	中	探索
可疑的 SMB 封包操作 （CVE-2020-0796 惡意探索）	2406	高	橫向移動
可疑的 Kerberos SPN 曝光	2410	高	認證存取
可疑的 Netlogon 許可權提升嘗試 （CVE-2020-1472 惡意探索）	2411	高	權限提升
可疑的 AS-REP 烤攻擊	2412	高	認證存取
可疑的AD FS DKM 金鑰讀取	2413	高	認證存取
Exchange Server 遠端程式代碼執行 （CVE-2021-26855）	2414	高	橫向移動
Windows Print Spooler 服務的可疑惡意探索嘗試	2415	高或中	橫向移動
透過加密檔案系統遠端通訊協定的可疑網路連線	2416	高或中	橫向移動
可疑的可疑 Kerberos 票證要求	2418	高	認證存取
可疑修改 sAMNameAccount 属性 （CVE-2021-42278 和 CVE-2021-42287 惡意探索）	2419	高	認證存取
可疑修改AD FS 伺服器的信任關係	2420	中	權限提升
可疑修改 dNSHostName 属性 （CVE-2022-26923）	2421	高	權限提升
新建立計算機的可疑 Kerberos 委派嘗試	2422	高	權限提升
機器帳戶對資源型限制委派屬性的可疑修改	2423	高	權限提升
使用可疑憑證進行異常 Active Directory 同盟服務 （AD FS） 驗證	2424	高	認證存取
透過 Kerberos 通訊協定的可疑憑證使用量 （PKINIT）	2425	高	橫向移動
使用分散式文件系統通訊協定的可疑 DFSCoerce 攻擊	2426	高	認證存取
已修改 Honeytoken 用戶屬性	2427	高	持續性
Honeytoken 群組成員資格已變更	2428	高	持續性
Honeytoken 已透過LDAP查詢	2429	低	探索
網域 管理員 SdHolder 的可疑修改	2430	高	持續性
使用陰影認證進行可疑的帳戶接管	2431	高	認證存取
可疑域控制器憑證要求 （ESC8）	2432	高	權限提升
可疑的憑證資料庫項目刪除	2433	中	防禦規避
可疑停用 AD CS 的稽核篩選	2434	中	防禦規避
AD CS 安全性許可權/設定的可疑修改	2435	中	權限提升
帳戶列舉偵察 （LDAP） （預覽）	2437	中	帳戶探索、網域帳戶
目錄服務還原模式密碼變更	2438	中	持續性、帳戶操作
Honeytoken 透過 SAM-R 查詢	2439	低	探索
組策略竄改	2440	中	防禦規避

注意

若要停用任何安全性警示，請連絡支持人員。

另請參閱

• 使用安全性警示
• 瞭解安全性警示
• 請參閱適用於身分識別的Defender論壇！