Sikkerhetsvarsler i Microsoft Defender for identitet

Obs!

Du kan få tilgang til opplevelsen som er beskrevet på https://security.microsoft.com denne siden, som en del av Microsoft Defender XDR.

Microsoft Defender for identitet sikkerhetsvarsler forklarer mistenkelige aktiviteter som oppdages av Defender for Identity-sensorer på nettverket, og skuespillerne og datamaskinene som er involvert i hver trussel. Varslingsbevislister inneholder direkte koblinger til de involverte brukerne og datamaskinene, for å gjøre undersøkelser enkle og direkte.

Defender for identitetssikkerhetsvarsler er delt inn i følgende kategorier eller faser, for eksempel fasene sett i en typisk kill-kjede for cyberangrep. Mer informasjon om hver fase, varslene som er utformet for å oppdage hvert angrep, og hvordan du bruker varslene til å beskytte nettverket ved hjelp av følgende koblinger:

1. Rekognoserings- og oppdagelsesvarsler
2. Varsler om videresending av vedvarende rettigheter og rettigheter
3. Varsler om legitimasjonstilgang
4. Varsler om sidebevegelse
5. Andre varsler

Hvis du vil lære mer om strukturen og vanlige komponenter i alle Sikkerhetsvarsler for Defender for identitet, kan du se Forstå sikkerhetsvarsler.

Tilordning av navn på sikkerhetsvarsel og unike eksterne ID-er

Tabellen nedenfor viser tilordningen mellom varselnavnene, de tilsvarende unike eksterne ID-ene, alvorlighetsgraden og MITRE ATT-&CK Matrix-taktikken™. Når det brukes med skript eller automatisering, anbefaler Microsoft bruk av eksterne ID-er for varsel i stedet for varselnavn, siden bare eksterne ID-er for sikkerhetsvarsler er permanente og kan ikke endres.

Eksterne IDer

Navn på sikkerhetsvarsel	Unik ekstern ID	Alvorlighetsgraden	MITRE ATT&CK-matrise™
Mistenkt SID-History injeksjon	1106	Høy	Videresending av rettigheter
Mistenkt overpass-the-hash angrep (Kerberos)	2002	Middels	Sideveis bevegelse
Rekognosering av kontoopplisting	2003	Middels	Oppdagelse
Mistenkt Brute Force-angrep (LDAP)	2004	Middels	Legitimasjonstilgang
Mistenkt DCSync-angrep (replikering av katalogtjenester)	2006	Høy	Legitimasjonstilgang, vedvarende
Rekognosering av nettverkstilordning (DNS)	2007	Middels	Oppdagelse
Mistenkt over-pass-the-hash angrep (tvunget krypteringstype)	2008	Middels	Sideveis bevegelse
Mistenkt Golden Ticket-bruk (krypteringsnedgradering)	2009	Middels	Vedvarende, Privilege Escalation, Lateral-bevegelse
Mistenkt skjelettnøkkelangrep (krypteringsnedgradering)	2010	Middels	Vedvarende, sideveis bevegelse
Bruker- og IP-adresserekognosering (SMB)	2012	Middels	Oppdagelse
Mistenkt golden ticket-bruk (forfalskede autorisasjonsdata)	2013	Høy	Legitimasjonstilgang
Godkjenningsaktivitet for Honeytoken	2014	Middels	Legitimasjonstilgang, søk
Mistenkt identitetstyveri (pass-the-hash)	2017	Høy	Sideveis bevegelse
Mistenkt identitetstyveri (pass-the-ticket)	2018	Høy eller middels	Sideveis bevegelse
Forsøk på ekstern kjøring av kode	2019	Middels	Utførelse, utholdenhet, privilegierskalering, forsvarsunndragelse, sideveisbevegelse
Ondsinnet forespørsel om API-hovednøkkel for databeskyttelse	2020	Høy	Legitimasjonstilgang
Rekognosering av bruker- og gruppemedlemskap (SAMR)	2021	Middels	Oppdagelse
Mistenkt golden ticket-bruk (tidsavvik)	2022	Høy	Vedvarende, Privilege Escalation, Lateral-bevegelse
Mistenkt Brute Force-angrep (Kerberos, NTLM)	2023	Middels	Legitimasjonstilgang
Mistenkelige tillegg til sensitive grupper	2024	Middels	Persistens, legitimasjonstilgang,
Mistenkelig VPN-tilkobling	2025	Middels	Forsvarsunndragelse, utholdenhet
Mistenkelig oppretting av tjeneste	2026	Middels	Utførelse, utholdenhet, privilege eskalering, forsvar unndragelse, lateral bevegelse
Mistenkt golden ticket-bruk (ikke-eksisterende konto)	2027	Høy	Vedvarende, Privilege Escalation, Lateral-bevegelse
Mistenkt DCShadow-angrep (nivåheving av domenekontroller)	2028	Høy	Forsvarsunndragelse
Mistenkt DCShadow-angrep (forespørsel om replikering av domenekontroller)	2029	Høy	Forsvarsunndragelse
Dataeksfiltrering over SMB	2030	Høy	Eksfiltrering, sideveksling, kommando og kontroll
Mistenkelig kommunikasjon over DNS	2031	Middels	Eksfiltrering
Mistenkt golden ticket-bruk (billettavvik)	2032	Høy	Vedvarende, Privilege Escalation, Lateral-bevegelse
Mistenkt Brute Force-angrep (SMB)	2033	Middels	Sideveis bevegelse
Mistenkt bruk av Metasploit hacking rammeverk	2034	Middels	Sideveis bevegelse
Mistenkt WannaCry ransomware angrep	2035	Middels	Sideveis bevegelse
Ekstern kjøring av kode over DNS	2036	Middels	Lateral bevegelse, Privilege eskalering
Mistenkt NTLM-reléangrep	2037	Middels eller lav hvis det observeres ved hjelp av signert NTLM v2-protokoll	Lateral bevegelse, Privilege eskalering
Rekognosering av sikkerhetskontohaver (LDAP)	2038	Høy (i tilfelle løsningsproblemer eller bestemt verktøy oppdages) og middels	Legitimasjonstilgang
Mistenkt NTLM-godkjenningsmanipulering	2039	Middels	Lateral bevegelse, Privilege eskalering
Mistenkt Golden Ticket-bruk (billettavvik ved hjelp av RBCD)	2040	Høy	Persistens
Mistenkt useriøs Kerberos-sertifikatbruk	2047	Høy	Sideveis bevegelse
Mistenkelig Kerberos-delegeringsforsøk ved hjelp av BronzeBit-metoden (CVE-2020-17049-utnyttelse)	2048	Middels	Legitimasjonstilgang
Active Directory-attributter rekognosering (LDAP)	2210	Middels	Oppdagelse
Mistenkt SMB-pakkemanipulering (CVE-2020-0796-utnyttelse)	2406	Høy	Sideveis bevegelse
Mistenkt Kerberos SPN-eksponering	2410	Høy	Legitimasjonstilgang
Mistanke om netlogon-rettighetsutvidelsesforsøk (CVE-2020-1472-utnyttelse)	2411	Høy	Videresending av rettigheter
Mistenkt AS-REP Roasting angrep	2412	Høy	Legitimasjonstilgang
Mistenkt AD FS DKM-nøkkel lest	2413	Høy	Legitimasjonstilgang
Exchange Server ekstern kjøring av kode (CVE-2021-26855)	2414	Høy	Sideveis bevegelse
Mistenkt utnyttelsesforsøk på Windows Print Spooler-tjenesten	2415	Høy eller middels	Sideveis bevegelse
Mistenkelig nettverkstilkobling over kryptering av filsystem ekstern protokoll	2416	Høy eller middels	Sideveis bevegelse
Mistenkt mistenkelig Kerberos-forespørsel om billett	2418	Høy	Legitimasjonstilgang
Mistenkelig endring av et sAMNameAccount-attributt (CVE-2021-42278 og CVE-2021-42287-utnyttelse)	2419	Høy	Legitimasjonstilgang
Mistenkelig endring av klareringsforholdet til AD FS-serveren	2420	Middels	Videresending av rettigheter
Mistenkelig endring av et dNSHostName-attributt (CVE-2022-26923)	2421	Høy	Videresending av rettigheter
Mistenkelig Kerberos-delegeringsforsøk fra en nylig opprettet datamaskin	2422	Høy	Videresending av rettigheter
Mistenkelig endring av attributtet Ressursbasert avgrenset delegering av en maskinkonto	2423	Høy	Videresending av rettigheter
Unormal Active Directory Federation Services (AD FS)-godkjenning ved hjelp av et mistenkelig sertifikat	2424	Høy	Legitimasjonstilgang
Mistenkelig sertifikatbruk over Kerberos-protokollen (PKINIT)	2425	Høy	Sideveis bevegelse
Mistenkt DFSCoerce-angrep ved hjelp av Distributed File System Protocol	2426	Høy	Legitimasjonstilgang
Honeytoken-brukerattributter endret	2427	Høy	Persistens
Medlemskap i Honeytoken-gruppen endret	2428	Høy	Persistens
Honeytoken ble forespurt via LDAP	2429	Lav	Oppdagelse
Mistenkelig endring av domeneadministratorholder	2430	Høy	Persistens
Mistenkt kontoovertakelse ved hjelp av skyggelegitimasjon	2431	Høy	Legitimasjonstilgang
Forespørsel om mistenkelig domenekontrollersertifikat (ESC8)	2432	Høy	Videresending av privilegier
Mistenkelig sletting av oppføringer i sertifikatdatabasen	2433	Middels	Forsvarsunndragelse
Mistenkelig deaktivering av overvåkingsfiltre for AD CS	2434	Middels	Forsvarsunndragelse
Mistenkelige endringer i AD CS-sikkerhetstillatelser/-innstillinger	2435	Middels	Videresending av privilegier
Rekognosering av kontoopplisting (LDAP) (forhåndsversjon)	2437	Middels	Kontooppdagelse, domenekonto
Endring av passord for gjenopprettingsmodus for katalogtjenester	2438	Middels	Vedvarende, kontomanipulering
Honeytoken ble forespurt via SAM-R	2439	Lav	Oppdagelse
gruppepolicy manipulering	2440	Middels	Forsvarsunndragelse

Obs!

Hvis du vil deaktivere et sikkerhetsvarsel, kontakter du kundestøtte.

Se også

• Arbeide med sikkerhetsvarsler
• Forstå sikkerhetsvarsler
• Ta en titt på Defender for Identity-forumet!