Informatie over beveiligingswaarschuwingen

Microsoft Defender for Identity beveiligingswaarschuwingen leggen in duidelijke taal en afbeeldingen uit welke verdachte activiteiten zijn geïdentificeerd op uw netwerk en welke actoren en computers betrokken zijn bij de bedreigingen. Waarschuwingen worden beoordeeld op ernst, kleurgecodeerd om ze eenvoudig visueel te filteren en ingedeeld op bedreigingsfase. Elke waarschuwing is ontworpen om u te helpen snel te begrijpen wat er precies gebeurt in uw netwerk. Lijsten met waarschuwingsmateriaal bevatten directe koppelingen naar de betrokken gebruikers en computers, om uw onderzoeken eenvoudig en direct te maken.

In dit artikel leert u de structuur van Defender for Identity-beveiligingswaarschuwingen en hoe u deze kunt gebruiken.

• Structuur van beveiligingswaarschuwingen
• Classificaties van beveiligingswaarschuwingen
• Beveiligingswaarschuwingscategorieën
• Geavanceerd beveiligingswaarschuwingsonderzoek
• Gerelateerde entiteiten
• Defender for Identity en NNR (netwerknaamomzetting)

Structuur van beveiligingswaarschuwingen

Elke Defender for Identity-beveiligingswaarschuwing bevat een waarschuwingsverhaal. Dit is de keten van gebeurtenissen met betrekking tot deze waarschuwing in chronologische volgorde en andere belangrijke informatie met betrekking tot de waarschuwing.

Op de waarschuwingspagina kunt u het volgende doen:

• Waarschuwing beheren : wijzig de status, toewijzing en classificatie van de waarschuwing. U kunt hier ook een opmerking toevoegen.

• Exporteren - een gedetailleerd Excel-rapport downloaden voor analyse

• Waarschuwing koppelen aan een ander incident : een waarschuwing koppelen aan een nieuw bestaand incident

  

Zie Waarschuwingen onderzoeken in Microsoft Defender XDR voor meer informatie over waarschuwingen.

Classificaties van beveiligingswaarschuwingen

Na het juiste onderzoek kunnen alle beveiligingswaarschuwingen van Defender for Identity worden geclassificeerd als een van de volgende activiteitstypen:

• True positive (TP): een schadelijke actie die is gedetecteerd door Defender for Identity.

• Benign true positive (B-TP): een actie die is gedetecteerd door Defender for Identity die echt is, maar niet schadelijk, zoals een penetratietest of bekende activiteit die wordt gegenereerd door een goedgekeurde toepassing.

• Fout-positief (FP): een vals alarm, wat betekent dat de activiteit niet is uitgevoerd.

Is de beveiligingswaarschuwing een TP, B-TP of FP

Stel voor elke waarschuwing de volgende vragen om de waarschuwingsclassificatie te bepalen en te bepalen wat er nu moet worden uitgevoerd:

1. Hoe gebruikelijk is deze specifieke beveiligingswaarschuwing in uw omgeving?
2. Is de waarschuwing geactiveerd door dezelfde typen computers of gebruikers? Bijvoorbeeld servers met dezelfde rol of gebruikers uit dezelfde groep/afdeling? Als de computers of gebruikers vergelijkbaar waren, kunt u besluiten deze uit te sluiten om toekomstige FP-waarschuwingen te voorkomen.

Opmerking

Een toename van waarschuwingen van exact hetzelfde type vermindert doorgaans het verdachte/urgentieniveau van de waarschuwing. Voor herhaalde waarschuwingen controleert u de configuraties en gebruikt u details en definities van beveiligingswaarschuwingen om precies te begrijpen wat er gebeurt, waardoor de herhalingen worden geactiveerd.

Beveiligingswaarschuwingscategorieën

Defender for Identity-beveiligingswaarschuwingen zijn onderverdeeld in de volgende categorieën of fasen, zoals de fasen die worden gezien in een typische kill chain voor cyberaanvallen. Meer informatie over elke fase en de waarschuwingen die zijn ontworpen om elke aanval te detecteren, vindt u via de volgende koppelingen:

• Reconnaissance-waarschuwingen
• Waarschuwingen voor gecompromitteerde referenties
• Waarschuwingen voor laterale verplaatsing
• Waarschuwingen voor domeindominantie
• Exfiltratiewaarschuwingen

Geavanceerd beveiligingswaarschuwingsonderzoek

Als u meer informatie wilt over een beveiligingswaarschuwing, selecteert u Exporteren op een pagina met waarschuwingsgegevens om het gedetailleerde Excel-waarschuwingsrapport te downloaden.

Het gedownloade bestand bevat samenvattingsgegevens over de waarschuwing op het eerste tabblad, waaronder:

• Titel
• Omschrijving
• Begintijd (UTC)
• Eindtijd (UTC)
• Ernst : laag/gemiddeld/hoog
• Status : openen/gesloten
• Tijd van statusupdate (UTC)
• Weergeven in browser

Alle betrokken entiteiten, inclusief accounts, computers en resources, worden weergegeven, gescheiden door hun rol. Er worden details verstrekt voor de bron, bestemming of aangevallen entiteit, afhankelijk van de waarschuwing.

De meeste tabbladen bevatten de volgende gegevens per entiteit:

• Naam

• Details

• Type

• SamName

• Broncomputer

• Brongebruiker (indien beschikbaar)

• Domeincontrollers

• Geopende resource: tijd, computer, naam, details, type, service.

• Gerelateerde entiteiten: id, type, naam, unieke entiteit Json, unieke entiteitsprofiel Json

• Alle onbewerkte activiteiten die zijn vastgelegd door Defender for Identity Sensors met betrekking tot de waarschuwing (netwerk- of gebeurtenisactiviteiten), waaronder:

  • Netwerkactiviteiten
  • Gebeurtenisactiviteiten

Sommige waarschuwingen hebben extra tabbladen, zoals details over:

• Accounts aangevallen toen de vermoedelijke aanval Brute Force gebruikte.
• DNS-servers (Domain Name System) wanneer de vermoedelijke aanval betrekking had op netwerktoewijzing reconnaissance (DNS).

Bijvoorbeeld:

Gerelateerde entiteiten

In elke waarschuwing bevat het laatste tabblad de gerelateerde entiteiten. Gerelateerde entiteiten zijn alle entiteiten die betrokken zijn bij een verdachte activiteit, zonder de scheiding van de 'rol' die ze in de waarschuwing hebben gespeeld. Elke entiteit heeft twee Json-bestanden, de unieke entiteit Json en de Json unieke entiteitsprofiel. Gebruik deze twee Json-bestanden voor meer informatie over de entiteit en om u te helpen de waarschuwing te onderzoeken.

Json-bestand voor unieke entiteit

Bevat de gegevens die Defender for Identity heeft geleerd van Active Directory over het account. Dit omvat alle kenmerken, zoals Distinguished Name, SID, LockoutTime en PasswordExpiryTime. Voor gebruikersaccounts bevat gegevens zoals Afdeling, E-mail en Telefoonnummer. Voor computeraccounts bevat gegevens zoals OperatingSystem, IsDomainController en DnsName.

Json-bestand voor uniek entiteitsprofiel

Bevat alle gegevens van Defender for Identity die zijn geprofileerd op de entiteit. Defender for Identity gebruikt de netwerk- en gebeurtenisactiviteiten die zijn vastgelegd om meer te weten te komen over de gebruikers en computers van de omgeving. Defender for Identity-profielen relevante informatie per entiteit. Deze informatie draagt bij aan de mogelijkheden voor bedreigingsidentificatie van Defender for Identity.

Hoe kan ik Defender for Identity-gegevens gebruiken in een onderzoek?

Onderzoek kan zo gedetailleerd zijn als nodig is. Hier volgen enkele ideeën over manieren om te onderzoeken met behulp van de gegevens van Defender for Identity.

• Controleer of alle gerelateerde gebruikers tot dezelfde groep of afdeling behoren.
• Delen gerelateerde gebruikers resources, toepassingen of computers?
• Is een account actief, ook al is passwordExpiryTime al doorgegeven?

Defender for Identity en NNR (netwerknaamomzetting)

De detectiemogelijkheden van Defender for Identity zijn afhankelijk van actieve NNR (Network Name Resolution) om IP-adressen op computers in uw organisatie op te lossen. Met NNR kan Defender for Identity een verband leggen tussen onbewerkte activiteiten (met IP-adressen) en de relevante computers die bij elke activiteit betrokken zijn. Op basis van de onbewerkte activiteiten profileert Defender for Identity entiteiten, waaronder computers, en genereert waarschuwingen.

NNR-gegevens zijn van cruciaal belang voor het detecteren van de volgende waarschuwingen:

• Vermoedelijke identiteitsdiefstal (pass-the-ticket)
• Vermoedelijke DCSync-aanval (replicatie van directoryservices)
• Netwerktoewijzingsverkenning (DNS)

Gebruik de NNR-informatie op het tabblad Netwerkactiviteiten van het downloadrapport voor waarschuwingen om te bepalen of een waarschuwing een FP is. In het geval van een FP-waarschuwing is het gebruikelijk dat het NNR-zekerheidsresultaat met een lage betrouwbaarheid wordt gegeven.

Rapportgegevens downloaden worden weergegeven in twee kolommen:

• Bron-/doelcomputer

  • Zekerheid : zekerheid bij lage resolutie kan duiden op een onjuiste naamomzetting.

• Bron-/doelcomputer

  • Oplossingsmethode : biedt de NNR-methoden die worden gebruikt om het IP-adres naar de computer in de organisatie om te lossen.

Zie Werken met beveiligingswaarschuwingen voor meer informatie over het werken met beveiligingswaarschuwingen van Defender for Identity.

Verwante onderwerpen

• Een gebruiker onderzoeken
• Een computer onderzoeken
• Werken met laterale verplaatsingspaden
• Bekijk het Defender for Identity-forum.