Sicherheitswarnungen in Microsoft Defender for Identity

Hinweis

Auf die auf dieser Seite beschriebene Benutzeroberfläche kann im https://security.microsoft.com Rahmen von Microsoft Defender XDR zugegriffen werden.

Microsoft Defender for Identity Sicherheitswarnungen erläutern die verdächtigen Aktivitäten, die von Defender for Identity-Sensoren in Ihrem Netzwerk erkannt werden, sowie die Akteure und Computer, die an den einzelnen Bedrohungen beteiligt sind. Beweislisten für Warnungen enthalten direkte Links zu den beteiligten Benutzern und Computern, um Ihre Untersuchungen einfacher und direkter zu gestalten.

Defender for Identity-Sicherheitswarnungen sind in die folgenden Kategorien oder Phasen unterteilt, wie die Phasen in einer typischen Kill Chain für Cyberangriffe. Unter den folgenden Links erfahren Sie mehr über die einzelnen Phasen, die Warnungen, die für die Erkennung der einzelnen Angriffe konzipiert sind, und wie Sie die Warnungen zum Schutz Ihres Netzwerks verwenden können:

1. Reconnaissance- und Ermittlungswarnungen
2. Persistenz- und Berechtigungsausweitungswarnungen
3. Zugriffswarnungen für Anmeldeinformationen
4. Lateral Movement-Warnungen
5. Andere Warnungen

Weitere Informationen zur Struktur und allgemeinen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen.

Zuordnung von Sicherheitswarnungsnamen und eindeutigen externen IDs

In der folgenden Tabelle sind die Zuordnung zwischen Warnungsnamen, den entsprechenden eindeutigen externen IDs, ihrem Schweregrad und ihrer MITRE ATT&CK Matrix-Taktik™ aufgeführt. Bei Verwendung mit Skripts oder Automatisierung empfiehlt Microsoft die Verwendung externer Warnungs-IDs anstelle von Warnungsnamen, da nur externe Sicherheitswarnungs-IDs dauerhaft sind und nicht geändert werden können.

Externe IDs

Name der Sicherheitswarnung	Eindeutige externe ID	Severity	MITRE ATT&CK-Matrix™
Verdacht auf SID-History Injektion	1106	Hoch	Rechteausweitung
Vermuteter Overpass-the-Hash-Angriff (Kerberos)	2002	Mittel	Laterale Bewegung
Kontoenumeration reconnaissance	2003	Mittel	Suche
Verdacht auf Brute-Force-Angriff (LDAP)	2004	Mittel	Zugriff auf Anmeldeinformationen
Vermuteter DCSync-Angriff (Replikation von Verzeichnisdiensten)	2006	Hoch	Zugriff auf Anmeldeinformationen, Persistenz
Netzwerkzuordnungs-Reconnaissance (DNS)	2007	Mittel	Suche
Vermuteter Over-Pass-the-Hash-Angriff (erzwungener Verschlüsselungstyp)	2008	Mittel	Laterale Bewegung
Vermutete Verwendung von Golden Ticket (Verschlüsselungsdowngrade)	2009	Mittel	Persistenz, Rechteausweitung, Lateral Movement
Vermuteter Skeleton Key-Angriff (Verschlüsselungsdowngrade)	2010	Mittel	Persistenz, Lateral Movement
Reconnaissance für Benutzer und IP-Adressen (SMB)	2012	Mittel	Suche
Verdacht auf Verwendung von Golden Ticket (gefälschte Autorisierungsdaten)	2013	Hoch	Zugriff auf Anmeldeinformationen
Honeytoken-Authentifizierungsaktivität	2014	Mittel	Zugriff auf Anmeldeinformationen, Ermittlung
Verdacht auf Identitätsdiebstahl (Pass-the-Hash)	2017	Hoch	Laterale Bewegung
Mutmaßlicher Identitätsdiebstahl (Pass-the-Ticket)	2018	Hoch oder Mittel	Laterale Bewegung
Remotecodeausführungsversuch	2019	Mittel	Ausführung, Persistenz, Rechteausweitung, Umgehung der Verteidigung, Lateral Movement
Böswillige Anforderung des master Schlüssels der Datenschutz-API	2020	Hoch	Zugriff auf Anmeldeinformationen
Reconnaissance für Benutzer- und Gruppenmitgliedschaften (SAMR)	2021	Mittel	Suche
Vermutete Verwendung von Golden Ticket (Zeitanomalie)	2022	Hoch	Persistenz, Rechteausweitung, Lateral Movement
Verdacht auf Brute-Force-Angriff (Kerberos, NTLM)	2023	Mittel	Zugriff auf Anmeldeinformationen
Verdächtige Ergänzungen zu sensiblen Gruppen	2024	Mittel	Persistenz, Zugriff auf Anmeldeinformationen,
Verdächtige VPN-Verbindung	2025	Mittel	Umgehung der Verteidigung, Persistenz
Erstellen eines verdächtigen Diensts	2026	Mittel	Ausführung, Persistenz, Rechteausweitung, Umgehung der Verteidigung, Lateral Movement
Vermutete Golden Ticket-Nutzung (nicht vorhandenes Konto)	2027	Hoch	Persistenz, Rechteausweitung, Lateral Movement
Vermuteter DCShadow-Angriff (Domänencontroller-Heraufstufung)	2028	Hoch	Umgehung von Verteidigungsmaßnahmen
Vermuteter DCShadow-Angriff (Domänencontrollerreplikationsanforderung)	2029	Hoch	Umgehung von Verteidigungsmaßnahmen
Datenexfiltration über SMB	2030	Hoch	Exfiltration, Lateral Movement, Command and Control
Verdächtige Kommunikation über DNS	2031	Mittel	Exfiltration
Vermutete Golden Ticket-Nutzung (Ticketanomalie)	2032	Hoch	Persistenz, Rechteausweitung, Lateral Movement
Verdacht auf Brute-Force-Angriff (SMB)	2033	Mittel	Laterale Bewegung
Verdacht auf Verwendung des Metasploit-Hacking-Frameworks	2034	Mittel	Laterale Bewegung
Verdacht auf WannaCry-Ransomware-Angriff	2035	Mittel	Laterale Bewegung
Remotecodeausführung über DNS	2036	Mittel	Lateral Movement, Rechteausweitung
Vermuteter NTLM-Relayangriff	2037	Mittel oder Niedrig bei Verwendung des signierten NTLM v2-Protokolls	Lateral Movement, Rechteausweitung
Reconnaissance für Sicherheitsprinzipale (LDAP)	2038	Hoch (falls Probleme bei der Lösung auftreten oder Bestimmtes Tool erkannt wurde) und Mittel	Zugriff auf Anmeldeinformationen
Verdacht auf Manipulation der NTLM-Authentifizierung	2039	Mittel	Lateral Movement, Rechteausweitung
Vermutete Golden Ticket-Nutzung (Ticketanomalie mit RBCD)	2040	Hoch	Persistenz
Vermutete Verwendung eines nicht autorisierten Kerberos-Zertifikats	2047	Hoch	Laterale Bewegung
Verdächtiger Kerberos-Delegierungsversuch mithilfe der BronzeBit-Methode (CVE-2020-17049-Ausnutzung)	2048	Mittel	Zugriff auf Anmeldeinformationen
Reconnaissance für Active Directory-Attribute (LDAP)	2210	Mittel	Suche
Verdacht auf SMB-Paketmanipulation (CVE-2020-0796-Ausnutzung)	2406	Hoch	Laterale Bewegung
Vermutete Kerberos-SPN-Offenlegung	2410	Hoch	Zugriff auf Anmeldeinformationen
Mutmaßlicher Versuch zur Erhöhung von Netlogon-Berechtigungen (CVE-2020-1472-Ausnutzung)	2411	Hoch	Rechteausweitung
Verdacht auf AS-REP-Röstangriff	2412	Hoch	Zugriff auf Anmeldeinformationen
Vermuteter AD FS DKM-Schlüssellesevorgang	2413	Hoch	Zugriff auf Anmeldeinformationen
Exchange Server Remotecodeausführung (CVE-2021-26855)	2414	Hoch	Laterale Bewegung
Mutmaßlicher Ausnutzungsversuch im Windows-Druckspoolerdienst	2415	Hoch oder Mittel	Laterale Bewegung
Verdächtige Netzwerkverbindung über verschlüsselndes Dateisystem-Remoteprotokoll	2416	Hoch oder Mittel	Laterale Bewegung
Verdacht auf verdächtige Kerberos-Ticketanforderung	2418	Hoch	Zugriff auf Anmeldeinformationen
Verdächtige Änderung eines sAMNameAccount-Attributs (Ausnutzung von CVE-2021-42278 und CVE-2021-42287)	2419	Hoch	Zugriff auf Anmeldeinformationen
Verdächtige Änderung der Vertrauensstellung des AD FS-Servers	2420	Mittel	Rechteausweitung
Verdächtige Änderung eines dNSHostName-Attributs (CVE-2022-26923)	2421	Hoch	Rechteausweitung
Verdächtiger Kerberos-Delegierungsversuch durch einen neu erstellten Computer	2422	Hoch	Rechteausweitung
Verdächtige Änderung des Attributs "Ressourcenbasierte eingeschränkte Delegierung" durch ein Computerkonto	2423	Hoch	Rechteausweitung
Authentifizierung mit ungewöhnlichem Active Directory-Verbunddienste (AD FS) (AD FS) mithilfe eines verdächtigen Zertifikats	2424	Hoch	Zugriff auf Anmeldeinformationen
Verdächtige Zertifikatverwendung über das Kerberos-Protokoll (PKINIT)	2425	Hoch	Laterale Bewegung
Verdacht auf DFSCoerce-Angriff mit dem Distributed File System Protocol	2426	Hoch	Zugriff auf Anmeldeinformationen
Honeytoken-Benutzerattribute geändert	2427	Hoch	Persistenz
Honeytoken-Gruppenmitgliedschaft geändert	2428	Hoch	Persistenz
Honeytoken wurde über LDAP abgefragt.	2429	Niedrig	Suche
Verdächtige Änderung der Domäne AdminSdHolder	2430	Hoch	Persistenz
Mutmaßliche Kontoübernahme mit Schattenanmeldeinformationen	2431	Hoch	Zugriff auf Anmeldeinformationen
Verdächtige Zertifikatanforderung für Domänencontroller (ESC8)	2432	Hoch	Rechteausweitung
Verdächtiges Löschen der Zertifikatdatenbankeinträge	2433	Mittel	Umgehung von Verteidigungsmaßnahmen
Verdächtiges Deaktivieren von Überwachungsfiltern von AD CS	2434	Mittel	Umgehung von Verteidigungsmaßnahmen
Verdächtige Änderungen an den AD CS-Sicherheitsberechtigungen/-einstellungen	2435	Mittel	Rechteausweitung
Account Enumeration Reconnaissance (LDAP) (Vorschau)	2437	Mittel	Kontoermittlung, Domänenkonto
Kennwortänderung im Wiederherstellungsmodus für Verzeichnisdienste	2438	Mittel	Persistenz, Kontobearbeitung
Honeytoken wurde über SAM-R abgefragt	2439	Niedrig	Suche
Gruppenrichtlinie Manipulation	2440	Mittel	Umgehung von Verteidigungsmaßnahmen

Hinweis

Wenden Sie sich an den Support, um sicherheitsrelevante Warnungen zu deaktivieren.

Siehe auch

• Arbeiten mit Sicherheitswarnungen
• Grundlegendes zu Sicherheitswarnungen
• Sehen Sie sich das Defender for Identity-Forum an!