Beveiligingswaarschuwingen in Microsoft Defender for Identity

Opmerking

De ervaring die op deze pagina wordt beschreven, is toegankelijk via https://security.microsoft.com Microsoft Defender XDR.

Microsoft Defender for Identity beveiligingswaarschuwingen leggen de verdachte activiteiten uit die zijn gedetecteerd door Defender for Identity-sensoren in uw netwerk, en de actoren en computers die betrokken zijn bij elke bedreiging. Lijsten met waarschuwingsmateriaal bevatten directe koppelingen naar de betrokken gebruikers en computers, om uw onderzoeken eenvoudig en direct te maken.

Defender for Identity-beveiligingswaarschuwingen zijn onderverdeeld in de volgende categorieën of fasen, zoals de fasen in een typische kill chain voor cyberaanvallen. Meer informatie over elke fase, de waarschuwingen die zijn ontworpen om elke aanval te detecteren en hoe u de waarschuwingen kunt gebruiken om uw netwerk te beveiligen met behulp van de volgende koppelingen:

1. Waarschuwingen voor reconnaissance en detectie
2. Waarschuwingen voor persistentie en escalatie van bevoegdheden
3. Waarschuwingen voor toegang tot referenties
4. Waarschuwingen voor laterale verplaatsing
5. Andere waarschuwingen

Zie Informatie over beveiligingswaarschuwingen voor meer informatie over de structuur en algemene onderdelen van alle Defender for Identity-beveiligingswaarschuwingen.

Naamtoewijzing van beveiligingswaarschuwingen en unieke externe id's

De volgende tabel bevat de toewijzing tussen waarschuwingsnamen, hun bijbehorende unieke externe id's, hun ernst en hun MITRE ATT&CK Matrix-tactiek™. Bij gebruik met scripts of automatisering raadt Microsoft het gebruik van externe waarschuwings-id's aan in plaats van waarschuwingsnamen, omdat alleen externe id's van beveiligingswaarschuwingen permanent zijn en niet kunnen worden gewijzigd.

Externe id's

Naam van beveiligingswaarschuwing	Unieke externe id	Ernst	MITRE ATT&CK Matrix™
Vermoedelijke SID-History injectie	1106	Hoog	Escalatie van bevoegdheden
Vermoedelijke overpass-the-hash-aanval (Kerberos)	2002	Gemiddeld	Laterale beweging
Verkenning van accountinventarisatie	2003	Gemiddeld	Ontdekken
Vermoedelijke Brute Force-aanval (LDAP)	2004	Gemiddeld	Toegang tot referenties
Vermoedelijke DCSync-aanval (replicatie van directoryservices)	2006	Hoog	Referentietoegang, persistentie
Netwerktoewijzingsverkenning (DNS)	2007	Gemiddeld	Ontdekken
Vermoedelijke over-pass-the-hash-aanval (type geforceerde versleuteling)	2008	Gemiddeld	Laterale beweging
Verdacht golden ticketgebruik (downgrade van versleuteling)	2009	Gemiddeld	Persistentie, escalatie van bevoegdheden, laterale verplaatsing
Suspected Skeleton Key attack (downgrade van versleuteling)	2010	Gemiddeld	Persistentie, laterale beweging
Reconnaissance van gebruikers en IP-adressen (SMB)	2012	Gemiddeld	Ontdekken
Verdacht Golden Ticket-gebruik (vervalste autorisatiegegevens)	2013	Hoog	Toegang tot referenties
Honeytoken-verificatieactiviteit	2014	Gemiddeld	Toegang tot referenties, detectie
Vermoedelijke identiteitsdiefstal (pass-the-hash)	2017	Hoog	Laterale beweging
Vermoedelijke identiteitsdiefstal (pass-the-ticket)	2018	Hoog of gemiddeld	Laterale beweging
Poging om externe code uit te voeren	2019	Gemiddeld	Uitvoering, Persistentie, Escalatie van bevoegdheden, Defensieontduiking, Laterale verplaatsing
Schadelijke aanvraag van data protection-API-hoofdsleutel	2020	Hoog	Toegang tot referenties
Verkenning van gebruikers- en groepslidmaatschap (SAMR)	2021	Gemiddeld	Ontdekken
Verdacht golden ticketgebruik (tijdafwijking)	2022	Hoog	Persistentie, escalatie van bevoegdheden, laterale verplaatsing
Vermoedelijke Brute Force-aanval (Kerberos, NTLM)	2023	Gemiddeld	Toegang tot referenties
Verdachte toevoegingen aan gevoelige groepen	2024	Gemiddeld	Persistentie, toegang tot referenties,
Verdachte VPN-verbinding	2025	Gemiddeld	Defensieontduiking, Persistentie
Verdachte service maken	2026	Gemiddeld	Uitvoering, Persistentie, Escalatie van bevoegdheden, Defensieontduiking, Laterale beweging
Verdacht golden ticketgebruik (niet-bestaand account)	2027	Hoog	Persistentie, escalatie van bevoegdheden, laterale verplaatsing
Verdachte DCShadow-aanval (promotie van domeincontrollers)	2028	Hoog	Defensieontduiking
Vermoedelijke DCShadow-aanval (replicatieaanvraag voor domeincontrollers)	2029	Hoog	Defensieontduiking
Gegevensexfiltratie via SMB	2030	Hoog	Exfiltratie, laterale beweging, opdracht en controle
Verdachte communicatie via DNS	2031	Gemiddeld	Exfiltratie
Verdacht golden ticketgebruik (afwijking van ticket)	2032	Hoog	Persistentie, escalatie van bevoegdheden, laterale verplaatsing
Verdachte Brute Force-aanval (SMB)	2033	Gemiddeld	Laterale beweging
Verdacht gebruik van Metasploit hacking framework	2034	Gemiddeld	Laterale beweging
Vermoedelijke WannaCry ransomware-aanval	2035	Gemiddeld	Laterale beweging
Uitvoering van externe code via DNS	2036	Gemiddeld	Laterale verplaatsing, escalatie van bevoegdheden
Vermoedelijke NTLM Relay-aanval	2037	Gemiddeld of laag als wordt waargenomen met het ondertekende NTLM v2-protocol	Laterale verplaatsing, escalatie van bevoegdheden
LDAP (Security Principal Reconnaissance)	2038	Hoog (in geval van oplossingsproblemen of specifiek hulpprogramma gedetecteerd) en gemiddeld	Toegang tot referenties
Vermoedelijke manipulatie van NTLM-verificatie	2039	Gemiddeld	Laterale verplaatsing, escalatie van bevoegdheden
Verdacht golden ticketgebruik (afwijking van tickets met behulp van RBCD)	2040	Hoog	Persistentie
Verdacht gebruik van rogue Kerberos-certificaten	2047	Hoog	Laterale beweging
Verdachte Kerberos-overdrachtspoging met behulp van de BronzeBit-methode (CVE-2020-17049-exploitatie)	2048	Gemiddeld	Toegang tot referenties
Active Directory-kenmerken reconnaissance (LDAP)	2210	Gemiddeld	Ontdekken
Vermoedelijke manipulatie van SMB-pakketten (CVE-2020-0796-exploitatie)	2406	Hoog	Laterale beweging
Vermoedelijke kerberos SPN-blootstelling	2410	Hoog	Toegang tot referenties
Vermoedelijke poging tot uitbreiding van Netlogon-bevoegdheden (CVE-2020-1472-exploitatie)	2411	Hoog	Escalatie van bevoegdheden
Vermoedelijke AS-REP Roasting-aanval	2412	Hoog	Toegang tot referenties
Vermoedelijke AD FS DKM-sleutel gelezen	2413	Hoog	Toegang tot referenties
Exchange Server externe code-uitvoering (CVE-2021-26855)	2414	Hoog	Laterale beweging
Vermoedelijke exploitatiepoging op de Windows Print Spooler-service	2415	Hoog of gemiddeld	Laterale beweging
Verdachte netwerkverbinding via Encrypting File System Remote Protocol	2416	Hoog of gemiddeld	Laterale beweging
Verdachte Kerberos-ticketaanvraag	2418	Hoog	Toegang tot referenties
Verdachte wijziging van een kenmerk sAMNameAccount (CVE-2021-42278 en CVE-2021-42287-exploitatie)	2419	Hoog	Toegang tot referenties
Verdachte wijziging van de vertrouwensrelatie van AD FS-server	2420	Gemiddeld	Escalatie van bevoegdheden
Verdachte wijziging van een kenmerk dNSHostName (CVE-2022-26923)	2421	Hoog	Escalatie van bevoegdheden
Verdachte Kerberos-delegeringspoging door een zojuist gemaakte computer	2422	Hoog	Escalatie van bevoegdheden
Verdachte wijziging van het kenmerk Beperkte delegering op basis van resources door een computeraccount	2423	Hoog	Escalatie van bevoegdheden
Verificatie van abnormale Active Directory Federation Services (AD FS) met behulp van een verdacht certificaat	2424	Hoog	Toegang tot referenties
Verdacht certificaatgebruik via Het Kerberos-protocol (PKINIT)	2425	Hoog	Laterale beweging
Vermoedelijke DFSCoerce-aanval met behulp van Distributed File System Protocol	2426	Hoog	Toegang tot referenties
Honeytoken-gebruikerskenmerken gewijzigd	2427	Hoog	Persistentie
Honeytoken-groepslidmaatschap gewijzigd	2428	Hoog	Persistentie
Honeytoken is opgevraagd via LDAP	2429	Laag	Ontdekken
Verdachte wijziging van domein AdminSdHolder	2430	Hoog	Persistentie
Vermoedelijke accountovername met schaduwreferenties	2431	Hoog	Toegang tot referenties
Verdachte certificaataanvraag voor domeincontrollers (ESC8)	2432	Hoog	Escalatie van bevoegdheden
Verdachte verwijdering van de certificaatdatabasevermeldingen	2433	Gemiddeld	Defensieontduiking
Verdacht uitschakelen van auditfilters van AD CS	2434	Gemiddeld	Defensieontduiking
Verdachte wijzigingen in de AD CS-beveiligingsmachtigingen/-instellingen	2435	Gemiddeld	Escalatie van bevoegdheden
Account enumeration reconnaissance (LDAP) (preview)	2437	Gemiddeld	Accountdetectie, domeinaccount
Wachtwoordwijziging in Directory Services-herstelmodus	2438	Gemiddeld	Persistentie, accountmanipulatie
Honeytoken is opgevraagd via SAM-R	2439	Laag	Ontdekken
groepsbeleid manipulatie	2440	Gemiddeld	Defensieontduiking

Opmerking

Als u beveiligingswaarschuwingen wilt uitschakelen, neemt u contact op met de ondersteuning.

Zie ook

• Werken met beveiligingswaarschuwingen
• Informatie over beveiligingswaarschuwingen
• Bekijk het Defender for Identity-forum.