次の方法で共有

Microsoft Defender for Identityのセキュリティ アラート

  • [アーティクル]

注:

このページで説明されているエクスペリエンスは、Microsoft Defender XDRの一部としてhttps://security.microsoft.comでアクセスできます。

Microsoft Defender for Identityセキュリティ アラートでは、ネットワーク上の Defender for Identity センサーによって検出された疑わしいアクティビティと、各脅威に関与するアクターとコンピューターについて説明します。 警告エビデンス リストには、関与しているユーザーとコンピューターへの直接リンクが含まれており、調査が簡単で直接的になります。

Defender for Identity セキュリティ アラートは、一般的なサイバー攻撃キル チェーンで見られるフェーズのように、次のカテゴリまたはフェーズに分けられます。 各フェーズ、各攻撃を検出するように設計されたアラート、およびアラートを使用して次のリンクを使用してネットワークを保護する方法について説明します。

  1. 偵察と検出アラート
  2. 永続化と特権のエスカレーション アラート
  3. 資格情報アクセス アラート
  4. 横移動アラート
  5. その他のアラート

すべての Defender for Identity セキュリティ アラートの構造と一般的なコンポーネントの詳細については、「 セキュリティ アラートについて」を参照してください。

セキュリティ アラート名のマッピングと一意の外部 ID

次の表に、アラート名、対応する一意の外部 ID、重大度、MITRE ATT&CK Matrix™ 戦術のマッピングを示します。 スクリプトまたは自動化で使用する場合、セキュリティ アラート外部 ID のみが永続的であり、変更される可能性は無く、アラート名の代わりにアラート外部 ID を使用することをお勧めします。

外部 ID

セキュリティ アラート名 一意の外部 ID 重要度 MITRE ATT&CK マトリックス™
SID-History インジェクションの疑い 1106 高い 特権エスカレーション
オーバーパスザハッシュ攻撃の疑い (Kerberos) 2002 横方向の移動
アカウント列挙偵察 2003 検出
ブルート フォース攻撃の疑い (LDAP) 2004 資格情報アクセス
DCSync 攻撃の疑い (ディレクトリ サービスのレプリケーション) 2006 高い 資格情報アクセス、永続化
ネットワーク マッピング偵察 (DNS) 2007 検出
オーバーパスザハッシュ攻撃の疑い (強制暗号化の種類) 2008 横方向の移動
ゴールデン チケットの使用の疑い (暗号化のダウングレード) 2009 永続化、特権エスカレーション、横移動
スケルトン キー攻撃の疑い (暗号化のダウングレード) 2010 永続化、横移動
ユーザーと IP アドレスの偵察 (SMB) 2012 検出
ゴールデン チケットの使用状況の疑い (偽造された承認データ) 2013 高い 資格情報アクセス
Honeytoken 認証アクティビティ 2014 資格情報アクセス、検出
ID の盗難の疑い (pass-the-hash) 2017 高い 横方向の移動
ID の盗難の疑い (チケットを渡す) 2018 高または中 横方向の移動
リモート コード実行の試行 2019 実行、永続化、特権エスカレーション、防御回避、横移動
Data Protection API マスター キーの悪意のある要求 2020 高い 資格情報アクセス
ユーザーおよびグループ メンバーシップ偵察 (SAMR) 2021 検出
ゴールデン チケットの使用状況の疑い (時間の異常) 2022 高い 永続化、特権エスカレーション、横移動
ブルート フォース攻撃の疑い (Kerberos、NTLM) 2023 資格情報アクセス
機密性の高いグループへの疑わしい追加 2024 永続化、資格情報アクセス、
疑わしい VPN 接続 2025 防御回避、永続化
疑わしいサービスの作成 2026 実行、永続化、特権エスカレーション、防御回避、横移動
ゴールデン チケットの使用状況の疑い (存在しないアカウント) 2027 高い 永続化、特権エスカレーション、横移動
DCShadow 攻撃の疑い (ドメイン コントローラーの昇格) 2028 高い 防御回避
DCShadow 攻撃の疑い (ドメイン コントローラーレプリケーション要求) 2029 高い 防御回避
SMB 上のデータ流出 2030 高い 流出、横移動、コマンドと制御
DNS 経由の疑わしい通信 2031 流出
ゴールデン チケットの使用状況の疑い (チケットの異常) 2032 高い 永続化、特権エスカレーション、横移動
ブルート フォース攻撃の疑い (SMB) 2033 横方向の移動
メタスプロイトハッキングフレームワークの使用の疑い 2034 横方向の移動
WannaCry ランサムウェア攻撃の疑い 2035 横方向の移動
DNS 経由でのリモート コード実行 2036 横移動、特権エスカレーション
NTLM リレー攻撃の疑い 2037 署名された NTLM v2 プロトコルを使用して観察された場合は中または低 横移動、特権エスカレーション
セキュリティ プリンシパル偵察 (LDAP) 2038 高 (解決の問題または特定のツールが検出された場合) と中 資格情報アクセス
NTLM 認証の改ざんの疑い 2039 横移動、特権エスカレーション
ゴールデン チケットの使用の疑い (RBCD を使用したチケットの異常) 2040 高い 永続性
不正な Kerberos 証明書の使用の疑い 2047 高い 横方向の移動
BronzeBit メソッドを使用した疑わしい Kerberos 委任の試行 (CVE-2020-17049 の悪用) 2048 資格情報アクセス
Active Directory 属性偵察 (LDAP) 2210 検出
SMB パケット操作の疑い (CVE-2020-0796 の悪用) 2406 高い 横方向の移動
Kerberos SPN の公開の疑い 2410 高い 資格情報アクセス
Netlogon 特権昇格の試行の疑い (CVE-2020-1472 の悪用) 2411 高い 特権エスカレーション
AS-REP ロースト攻撃の疑い 2412 高い 資格情報アクセス
AD FS DKM キーの読み取りが疑われる 2413 高い 資格情報アクセス
Exchange Serverリモート コード実行 (CVE-2021-26855) 2414 高い 横方向の移動
Windows 印刷スプーラー サービスでの悪用の疑い 2415 高または中 横方向の移動
暗号化ファイル システム リモート プロトコル経由の疑わしいネットワーク接続 2416 高または中 横方向の移動
疑わしい Kerberos チケット要求 2418 高い 資格情報アクセス
sAMNameAccount 属性の疑わしい変更 (CVE-2021-42278 および CVE-2021-42287 の悪用) 2419 高い 資格情報アクセス
AD FS サーバーの信頼関係の疑わしい変更 2420 特権エスカレーション
dNSHostName 属性の疑わしい変更 (CVE-2022-26923) 2421 高い 特権エスカレーション
新しく作成されたコンピューターによる疑わしい Kerberos 委任の試行 2422 高い 特権エスカレーション
マシン アカウントによるリソース ベースの制約付き委任属性の疑わしい変更 2423 高い 特権エスカレーション
疑わしい証明書を使用した異常なActive Directory フェデレーション サービス (AD FS) (AD FS) 認証 2424 高い 資格情報アクセス
Kerberos プロトコル経由の疑わしい証明書の使用 (PKINIT) 2425 高い 横方向の移動
分散ファイル システム プロトコルを使用した DFSCoerce 攻撃の疑い 2426 高い 資格情報アクセス
Honeytoken ユーザー属性の変更 2427 高い 永続性
Honeytoken グループのメンバーシップが変更されました 2428 高い 永続性
Honeytoken が LDAP 経由でクエリされました 2429 低い 検出
ドメイン AdminSdHolder の疑わしい変更 2430 高い 永続性
シャドウ資格情報を使用したアカウント引き継ぎの疑い 2431 高い 資格情報アクセス
疑わしいドメイン コントローラー証明書要求 (ESC8) 2432 高い 特権のエスカレーション
証明書データベース エントリの疑わしい削除 2433 防御回避
AD CS の監査フィルターの疑わしい無効化 2434 防御回避
AD CS セキュリティのアクセス許可/設定に対する疑わしい変更 2435 特権のエスカレーション
アカウント列挙偵察 (LDAP) ( プレビュー) 2437 アカウント検出、ドメイン アカウント
Directory Services 復元モードのパスワード変更 2438 永続化、アカウント操作
Honeytoken は SAM-R 経由でクエリされました 2439 低い 検出
グループ ポリシー改ざん 2440 防御回避

注:

セキュリティ アラートを無効にするには、サポートにお問い合わせください。

関連項目