Alertes de sécurité dans Microsoft Defender pour Identity

Remarque

L’expérience décrite dans cette page est accessible à l’adresse https://security.microsoft.com dans le cadre de Microsoft Defender XDR.

Les alertes de sécurité Microsoft Defender pour Identity expliquent les activités suspectes détectées par les capteurs Defender pour Identity sur votre réseau, ainsi que les acteurs et les ordinateurs impliqués dans chaque menace. Les listes de preuves d’alerte contiennent des liens directs vers les utilisateurs et les ordinateurs impliqués, afin de faciliter et de diriger vos enquêtes.

Les alertes de sécurité Defender pour Identity sont réparties dans les catégories ou phases suivantes, à l’instar des phases d’une chaîne de destruction de cyber-attaque typique. Pour en savoir plus sur chaque phase, sur les alertes conçues pour détecter chaque attaque et sur la manière d’utiliser les alertes pour protéger votre réseau, cliquez sur les liens suivants :

1. Alertes de reconnaissance et de découverte
2. Alertes de persistance et d’élévation des privilèges
3. Alertes d’accès aux identifiants
4. Alertes de mouvement latéral
5. Autres alertes

Pour en savoir plus sur la structure et les composants courants de toutes les alertes de sécurité de Defender pour Identity, consultez Présentation des alertes de sécurité.

Mappage des noms d’alerte de sécurité et ID externes uniques

Le tableau suivant répertorie la correspondance entre les noms des alertes, leurs identifiants externes uniques correspondants, leur gravité et leur MITRE ATT&CK Matrix™ tactique. Lorsqu’il est utilisé avec des scripts ou une automatisation, Microsoft recommande d’utiliser des ID externes d’alerte à la place des noms d’alerte, car seuls les ID externes d’alerte de sécurité sont permanents et ne sont pas soumis à modification.

ID externes

Nom d’alerte de sécurité.	ID externe unique	Niveau de gravité	MITRE ATT&CK Matrix™
Suspicion d'injection SID-History	1106	Forte	Élévation des privilèges
Suspicion d’attaque overpass-the-hash (Kerberos)	2002	Moyenne	Mouvement latéral
Reconnaissance d’énumération de compte	2003	Moyenne	Découverte
Suspicion d’attaque par force brute (LDAP)	2004	Moyenne	Accès aux informations d’identification
Suspicion d’attaque DCSync (réplication des services d’annuaire)	2006	Forte	Accès aux informations d’identification, persistance
Reconnaissance de mappage réseau (DNS)	2007	Moyenne	Découverte
Attaque de type over-pass-the-hash suspectée (chiffrement forcé)	2008	Moyenne	Mouvement latéral
Suspicion d’utilisation de Golden Ticket (rétrogradation du chiffrement)	2009	Moyenne	Persistance, élévation des privilèges, mouvement latéral
Suspicion d’attaque skeleton key (rétrogradation du chiffrement)	2010	Moyenne	Persistance, mouvement latéral
Reconnaissance des adresses IP et des utilisateurs (SMB)	2012	Moyenne	Découverte
Suspicion d’utilisation de golden Ticket (données d’autorisation falsifiées)	2013	Forte	Accès aux informations d’identification
Activité d’authentification Honeytoken	2014	Moyenne	Accès aux informations d’identification, découverte
Suspicion d’usurpation d’identité (pass-the-hash)	2017	Forte	Mouvement latéral
Suspicion d’usurpation d’identité (pass-the-ticket)	2018	Moyen ou élevé	Mouvement latéral
Tentative d’exécution de code à distance	2019	Moyenne	Exécution, persistance, élévation des privilèges, contournement de la défense, mouvement latéral
Demande malveillante de la clé principale de l’API de protection des données (DPAPI)	2020	Forte	Accès aux informations d’identification
Reconnaissance des appartenances utilisateur et à un groupe (SAMR)	2021	Moyenne	Découverte
Suspicion d’utilisation de golden Ticket (anomalie temporelle)	2022	Forte	Persistance, élévation des privilèges, mouvement latéral
Suspicion d’attaque par force brute (Kerberos, NTLM)	2023	Moyenne	Accès aux informations d’identification
Ajouts suspects aux groupes sensibles	2024	Moyenne	Persistance, accès aux informations d’identification
Connexion VPN suspecte	2025	Moyenne	Persistance, contournement de la défense
Création d’un service suspect	2026	Moyenne	Exécution, persistance, élévation des privilèges, contournement de la défense, mouvement latéral
Suspicion d’utilisation de golden ticket (compte inexistant)	2027	Forte	Persistance, élévation des privilèges, mouvement latéral
Suspicion d’attaque DCShadow (promotion du contrôleur de domaine)	2028	Forte	Évasion de défense
Suspicion d’attaque DCShadow (demande de réplication du contrôleur de domaine)	2029	Forte	Évasion de défense
Exfiltration de données sur SMB	2030	Forte	Exfiltration, mouvement latéral, commande et contrôle
Communication suspecte sur DNS	2031	Moyenne	Exfiltration
Suspicion d’utilisation de golden Ticket (anomalie de ticket)	2032	Forte	Persistance, élévation des privilèges, mouvement latéral
Suspicion d’attaque par force brute (SMB)	2033	Moyenne	Mouvement latéral
Suspicion d’utilisation du cadre de piratage Metasploit	2034	Moyenne	Mouvement latéral
Suspicion d’attaque par rançongiciel WannaCry	2035	Moyenne	Mouvement latéral
Exécution de code distant sur DNS	2036	Moyenne	Mouvement latéral, élévation des privilèges
Suspicion d’attaque de relais NTLM	2037	Moyenne ou faible si elle est observée à l’aide du protocole NTLM v2 signé	Mouvement latéral, élévation des privilèges
Reconnaissance de principal de sécurité (LDAP)	2038	Moyenne	Accès aux informations d’identification
Suspicion de falsification d’authentification NTLM	2039	Moyenne	Mouvement latéral, élévation des privilèges
Suspicion d’utilisation de golden Ticket (anomalie de ticket utilisant RBCD)	2040	Forte	Persistance
Suspicion d’utilisation de certificats Kerberos non autorisés	2047	Forte	Mouvement latéral
Tentative suspecte de délégation Kerberos à l’aide de la méthode BronzeBit (exploitation CVE-2020-17049)	2 048	Moyenne	Accès aux informations d’identification
Reconnaissance des attributs Active Directory (LDAP)	2210	Moyenne	Découverte
Manipulation suspecte de paquets SMB (exploitation CVE-2020-0796)	2406	Forte	Mouvement latéral
Exposition suspectée d'un SPN Kerberos	2410	Forte	Accès aux informations d’identification
Suspicion de tentative d’élévation de privilèges Netlogon (exploitation CVE-2020-1472)	2411	Forte	Élévation des privilèges
Suspicion d’attaque AS-REP Roasting	2412	Forte	Accès aux informations d’identification
Suspicion de lecture de clé DKM AD FS	2413	Forte	Accès aux informations d’identification
Exécution de code à distance du serveur Exchange (CVE-2021-26855)	2 414	Forte	Mouvement latéral
Suspicion de tentative d’exploitation sur le service Spouleur d’impression Windows	2415	Moyen ou élevé	Mouvement latéral
Connexion réseau suspecte via le protocole distant du système de fichiers EFS	2416	Moyen ou élevé	Mouvement latéral
Demande suspecte de ticket Kerberos suspect	2418	Forte	Accès aux informations d’identification
Suspicion de modification d’un attribut sAMNameAccount (exploitation CVE-2021-42278 et CVE-2021-42287)	2419	Forte	Accès aux informations d’identification
Modification suspecte de la relation de confiance de serveur AD FS	2420	Moyenne	Élévation des privilèges
Modification suspecte d’un attribut dNSHostName (CVE-2022-26923)	2421	Forte	Élévation des privilèges
Tentative suspecte de délégation Kerberos par un ordinateur nouvellement créé	2422	Forte	Élévation des privilèges
Modification suspecte de l’attribut Délégation contrainte basée sur les ressources par un compte d’ordinateur	2423	Forte	Élévation des privilèges
Authentification anormale par Active Directory Federation Services (AD FS) à l'aide d'un certificat suspect	2424	Forte	Accès aux informations d’identification
Utilisation suspecte de certificat sur le protocole Kerberos (PKINIT)	2425	Forte	Mouvement latéral
Suspicion d’une attaque DFSCoerce à l’aide du protocole système de fichiers DFS	2426	Forte	Accès aux informations d’identification
Attributs utilisateur Honeytoken modifiés	2427	Forte	Persistance
Appartenance au groupe Honeytoken modifiée	2428	Forte	Persistance
Honeytoken a été interrogé via un protocole LDAP	2429	Bas	Découverte
Modification suspecte du domaine AdminSdHolder	2430	Forte	Persistance
Prise de contrôle de compte suspectée à l’aide d’informations d’identification fantômes	2431	Forte	Accès aux informations d’identification
Demande de certificat de contrôleur de domaine suspecte (ESC8)	2432	Forte	Élévation des privilèges
Suppression suspecte des entrées de la base de données des certificats	2433	Moyenne	Évasion de défense
Désactivation suspecte des filtres d'audit d'AD CS	2434	Moyenne	Évasion de défense
Modifications suspectes des permissions/paramètres de sécurité d'AD CS	2435	Moyenne	Élévation des privilèges
Reconnaissance de l'énumération des comptes (LDAP) (Préversion)	2437	Moyenne	Découverte de compte, Compte de domaine
Services d'annuaire Mode de restauration Changement de mot de passe	2438	Moyenne	Persistance, manipulation des comptes
Honeytoken a été interrogé via un protocole SAM-R	2 439	Bas	Découverte
Altération de la stratégie de groupe	2 440	Moyenne	Évasion de défense

Remarque

Pour désactiver l’alerte de sécurité, contactez le support technique.

Voir aussi

• Utilisation des alertes de sécurité
• Présentation des alertes de sécurité
• Consultez le Forum Defender pour Identity.