Výstrahy zabezpečení v Microsoft Defender for Identity

Poznámka

Prostředí popsané na této stránce je přístupné v https://security.microsoft.com rámci Microsoft Defender XDR.

Microsoft Defender for Identity výstrahy zabezpečení vysvětlují podezřelé aktivity detekované senzory defenderu for Identity ve vaší síti a aktéry a počítače, které jsou součástí každé hrozby. Seznamy důkazů výstrah obsahují přímé odkazy na zúčastněné uživatele a počítače, které usnadňují a usnadňují vaše vyšetřování.

Výstrahy zabezpečení Defenderu for Identity jsou rozdělené do následujících kategorií nebo fází, jako jsou fáze, které se zobrazují v typickém řetězci útoků kyberútokům. Další informace o jednotlivých fázích, výstrahách navržených pro detekci jednotlivých útoků a o tom, jak je používat k ochraně sítě, najdete na následujících odkazech:

1. Upozornění na rekognoskaci a zjišťování
2. Upozornění na trvalost a eskalace oprávnění
3. Upozornění na přístup k přihlašovacím údajům
4. Upozornění na laterální pohyb
5. Další výstrahy

Další informace o struktuře a společných komponentách všech výstrah zabezpečení Defenderu for Identity najdete v tématu Principy výstrah zabezpečení.

Mapování názvů výstrah zabezpečení a jedinečných externích ID

Následující tabulka uvádí mapování mezi názvy upozornění, jejich odpovídajícími jedinečnými externími ID, jejich závažností a jejich taktikou MITRE ATT&CK Matrix™. Při použití se skripty nebo automatizací microsoft doporučuje místo názvů výstrah používat externí ID výstrah, protože pouze externí ID výstrahy jsou trvalá a můžou se měnit.

Externí ID

Název výstrahy zabezpečení	Jedinečné externí ID	Závažnost	MITRE ATT&matice CK™
Podezření na SID-History injekci	1106	High (Vysoká)	Eskalace oprávnění
Podezření na útok overpass-the-hash (Kerberos)	2002	Střední	Laterální pohyb
Rekognoskace výčtu účtů	2003	Střední	Objev
Podezřelý útok hrubou silou (LDAP)	2004	Střední	Přístup k přihlašovacím údajům
Podezřelý útok DCSync (replikace adresářových služeb)	2006	High (Vysoká)	Přístup k přihlašovacím údajům, trvalost
Rekognoskace mapování sítě (DNS)	2007	Střední	Objev
Podezření na útok over-pass-the-hash (typ vynuceného šifrování)	2008	Střední	Laterální pohyb
Podezření na použití zlatého lístku (downgrade šifrování)	2009	Střední	Trvalost, eskalace oprávnění, laterální pohyb
Podezření na útok Skeleton Key (downgrade šifrování)	2010	Střední	Trvalost, laterální pohyb
Rekognoskace uživatelů a IP adres (SMB)	2012	Střední	Objev
Podezření na použití zlatého lístku (zkameněná autorizační data)	2013	High (Vysoká)	Přístup k přihlašovacím údajům
Aktivita ověřování honeytokenem	2014	Střední	Přístup k přihlašovacím údajům, zjišťování
Podezření na krádež identity (pass-the-hash)	2017	High (Vysoká)	Laterální pohyb
Podezření na krádež identity (pass-the-ticket)	2018	Vysoká nebo střední	Laterální pohyb
Pokus o vzdálené spuštění kódu	2019	Střední	Exekuce, trvalost, eskalace oprávnění, únik v obraně, laterální pohyb
Škodlivý požadavek hlavního klíče rozhraní API pro ochranu dat	2020	High (Vysoká)	Přístup k přihlašovacím údajům
Průzkum členství uživatelů a skupin (SAMR)	2021	Střední	Objev
Podezření na využití zlatého lístku (časová anomálie)	2022	High (Vysoká)	Trvalost, eskalace oprávnění, laterální pohyb
Podezřelý útok hrubou silou (Kerberos, NTLM)	2023	Střední	Přístup k přihlašovacím údajům
Podezřelé přidání citlivých skupin	2024	Střední	Trvalost, přístup k přihlašovacím údajům,
Podezřelé připojení VPN	2025	Střední	Únik v obraně, trvalost
Podezřelé vytvoření služby	2026	Střední	Exekuce, trvalost, eskalace oprávnění, únik v obraně, laterální pohyb
Podezření na použití zlatého lístku (neexistující účet)	2027	High (Vysoká)	Trvalost, eskalace oprávnění, laterální pohyb
Podezření na útok DCShadow (povýšení řadiče domény)	2028	High (Vysoká)	Úniky v obraně
Podezřelý útok DCShadow (žádost o replikaci řadiče domény)	2029	High (Vysoká)	Úniky v obraně
Exfiltrace dat přes protokol SMB	2030	High (Vysoká)	Exfiltrace, laterální pohyb, příkaz a řízení
Podezřelá komunikace přes DNS	2031	Střední	Exfiltrace
Podezření na využití zlatého lístku (anomálie lístku)	2032	High (Vysoká)	Trvalost, eskalace oprávnění, laterální pohyb
Podezřelý útok hrubou silou (SMB)	2033	Střední	Laterální pohyb
Podezření na použití architektury hackingu Metasploit	2034	Střední	Laterální pohyb
Podezření na útok ransomware WannaCry	2035	Střední	Laterální pohyb
Vzdálené spouštění kódu přes DNS	2036	Střední	Laterální pohyb, eskalace oprávnění
Podezřelý útok na přenos protokolu NTLM	2037	Střední nebo Nízká, pokud se používá podepsaný protokol NTLM v2	Laterální pohyb, eskalace oprávnění
Průzkum objektů zabezpečení (LDAP)	2038	Vysoká (při řešení problémů nebo zjištění konkrétního nástroje) a střední	Přístup k přihlašovacím údajům
Podezřelá manipulace s ověřováním NTLM	2039	Střední	Laterální pohyb, eskalace oprávnění
Podezření na využití zlatého lístku (anomálie lístku s využitím RBCD)	2040	High (Vysoká)	Perzistence
Podezření na zneužití podvodného certifikátu Kerberos	2047	High (Vysoká)	Laterální pohyb
Podezřelý pokus o delegování protokolu Kerberos pomocí metody BronzeBit (CVE-2020-17049 – zneužití)	2048	Střední	Přístup k přihlašovacím údajům
Rekognoskace atributů služby Active Directory (LDAP)	2210	Střední	Objev
Podezřelá manipulace s pakety SMB (cve-2020-0796 – zneužití)	2406	High (Vysoká)	Laterální pohyb
Podezření na ohrožení hlavního názvu služby (SPN) protokolu Kerberos	2410	High (Vysoká)	Přístup k přihlašovacím údajům
Podezřelý pokus o zvýšení oprávnění netlogonu (cve-2020-1472 zneužití)	2411	High (Vysoká)	Eskalace oprávnění
Podezření na útok AS-REP Roasting	2412	High (Vysoká)	Přístup k přihlašovacím údajům
Podezřelé čtení klíče DKM služby AD FS	2413	High (Vysoká)	Přístup k přihlašovacím údajům
Exchange Server vzdálené spuštění kódu (CVE-2021-26855)	2414	High (Vysoká)	Laterální pohyb
Podezřelý pokus o zneužití ve službě Zařazování tisku systému Windows	2415	Vysoká nebo střední	Laterální pohyb
Podezřelé síťové připojení přes protokol Encrypting File System Remote Protocol	2416	Vysoká nebo střední	Laterální pohyb
Podezření na podezřelou žádost o lístek protokolu Kerberos	2418	High (Vysoká)	Přístup k přihlašovacím údajům
Podezřelá změna atributu sAMNameAccount (zneužití CVE-2021-42278 a CVE-2021-42287)	2419	High (Vysoká)	Přístup k přihlašovacím údajům
Podezřelá změna vztahu důvěryhodnosti serveru AD FS	2420	Střední	Eskalace oprávnění
Podezřelá změna atributu dNSHostName (CVE-2022-26923)	2421	High (Vysoká)	Eskalace oprávnění
Podezřelý pokus o delegování protokolu Kerberos nově vytvořeným počítačem	2422	High (Vysoká)	Eskalace oprávnění
Podezřelá úprava atributu omezeného delegování na základě prostředků účtem počítače	2423	High (Vysoká)	Eskalace oprávnění
Neobvyklé ověřování Active Directory Federation Services (AD FS) (AD FS) s využitím podezřelého certifikátu	2424	High (Vysoká)	Přístup k přihlašovacím údajům
Podezřelé využití certifikátů přes protokol Kerberos (PKINIT)	2425	High (Vysoká)	Laterální pohyb
Podezření na útok DFSCoerce pomocí protokolu DISTRIBUTED File System Protocol	2426	High (Vysoká)	Přístup k přihlašovacím údajům
Uživatelské atributy Honeytokenu byly změněny.	2427	High (Vysoká)	Perzistence
Změnilo se členství ve skupině Honeytoken	2428	High (Vysoká)	Perzistence
Honeytoken se dotazoval přes LDAP.	2429	Nízký	Objev
Podezřelá úprava domény AdminSdHolder	2430	High (Vysoká)	Perzistence
Podezření na převzetí účtu pomocí stínových přihlašovacích údajů	2431	High (Vysoká)	Přístup k přihlašovacím údajům
Podezřelá žádost o certifikát řadiče domény (ESC8)	2432	High (Vysoká)	Eskalace oprávnění
Podezřelé odstranění položek databáze certifikátů	2433	Střední	Úniky v obraně
Podezřelé zakázání filtrů auditu služby AD CS	2434	Střední	Úniky v obraně
Podezřelé změny oprávnění a nastavení zabezpečení služby AD CS	2435	Střední	Eskalace oprávnění
Rekognoskace výčtu účtů (LDAP) (Preview)	2437	Střední	Zjišťování účtu, účet domény
Změna hesla v režimu obnovení adresářových služeb	2438	Střední	Trvalost, manipulace s účty
Dotaz na Honeytoken byl dotazován přes SAM-R.	2439	Nízký	Objev
Zásady skupiny manipulace	2440	Střední	Úniky v obraně

Poznámka

Pokud chcete zakázat jakékoli výstrahy zabezpečení, obraťte se na podporu.

Viz taky

• Práce s výstrahami zabezpečení
• Principy výstrah zabezpečení
• Podívejte se na fórum Defender for Identity!