Основные сведения об оповещениях системы безопасности
Microsoft Defender для удостоверений оповещения системы безопасности объясняют понятным языком и графикой, какие подозрительные действия были выявлены в вашей сети, а также субъекты и компьютеры, участвующие в угрозах. Оповещения оцениваются по степени серьезности, кодируются цветом, чтобы упростить их визуальную фильтрацию, и упорядочивается по этапам угроз. Каждое оповещение предназначено для быстрого понимания того, что именно происходит в вашей сети. Списки свидетельств оповещений содержат прямые ссылки на связанных пользователей и компьютеры, упрощая исследование.
В этой статье вы узнаете о структуре оповещений системы безопасности Defender для удостоверений и их использовании.
- Структура оповещений системы безопасности
- Классификации оповещений системы безопасности
- Категории оповещений системы безопасности
- Расширенное исследование оповещений системы безопасности
- Связанные сущности
- Defender для удостоверений и NNR (разрешение сетевых имен)
Структура оповещений системы безопасности
Каждое оповещение системы безопасности Defender для удостоверений включает в себя историю оповещений. Это цепочка событий, связанных с этим оповещением в хронологическом порядке, и другая важная информация, связанная с оповещением.
На странице оповещений вы можете:
Управление оповещением — изменение состояния, назначения и классификации оповещения. Вы также можете добавить комментарий сюда.
Экспорт — скачивание подробного отчета Excel для анализа
Связывание оповещения с другим инцидентом — связывание оповещения с новым существующим инцидентом
Дополнительные сведения об оповещениях см. в статье Изучение оповещений в Microsoft Defender XDR.
Классификации оповещений системы безопасности
После надлежащего исследования все оповещения системы безопасности Defender для удостоверений можно классифицировать как один из следующих типов действий:
True positive (TP): вредоносное действие, обнаруженное Defender для удостоверений.
Доброкачественный истинно положительный результат (B-TP): действие, обнаруженное Defender для удостоверений, которое является реальным, но не вредоносным, например тест на проникновение или известное действие, созданное утвержденным приложением.
Ложноположительные срабатывания (FP): ложное оповещение, означающее, что действие не произошло.
Является ли оповещение системы безопасности TP, B-TP или FP
Для каждого оповещения задайте следующие вопросы, чтобы определить классификацию оповещений и решить, что делать дальше:
- Насколько распространено это конкретное оповещение системы безопасности в вашей среде?
- Было ли оповещение активировано теми же типами компьютеров или пользователей? Например, серверы с той же ролью или пользователи из одной группы или отдела? Если компьютеры или пользователи были похожи, вы можете исключить их, чтобы избежать дополнительных оповещений FP в будущем.
Примечание.
Увеличение количества оповещений того же типа обычно снижает уровень подозрительности или важности оповещения. Для повторных оповещений проверьте конфигурации и используйте сведения и определения оповещений системы безопасности, чтобы точно понять, что происходит, что вызывает повторения.
Категории оповещений системы безопасности
Оповещения системы безопасности Defender для удостоверений делятся на следующие категории или этапы, такие как этапы, наблюдаемые в типичной цепочке кибератак. Дополнительные сведения о каждом этапе и оповещениях, предназначенных для обнаружения каждой атаки, см. по следующим ссылкам:
- Оповещения рекогносцировки
- Оповещения о компрометации учетных данных
- Оповещения о боковом перемещении
- Оповещения о доминировании в домене
- Оповещения о краже
Расширенное исследование оповещений системы безопасности
Чтобы получить дополнительные сведения об оповещении системы безопасности, выберите Экспорт на странице сведений об оповещении, чтобы скачать подробный отчет об оповещении Excel.
Скачанный файл содержит сводные сведения об оповещении на первой вкладке, в том числе:
- Название
- Описание
- Время начала (UTC)
- Время окончания (UTC)
- Серьезность — низкий, средний или высокий
- Состояние — открытый/закрытый
- Время обновления состояния (UTC)
- Просмотр в браузере
Перечислены все задействованные сущности, включая учетные записи, компьютеры и ресурсы, разделенные их ролью. В зависимости от оповещения предоставляются сведения об исходной, целевой или атакуемой сущности.
Большинство вкладок содержат следующие данные для каждой сущности:
Имя
Сведения
Тип
SamName
Исходный компьютер
Исходный пользователь (если доступно)
Контроллеры домена
Доступ к ресурсу: Time, Computer, Name, Details, Type, Service.
Связанные сущности: ID, Type, Name, Unique Entity Json, Unique Entity Profile Json
Все необработанные действия, захваченные датчиками Defender для удостоверений, связанные с оповещением (действия сети или события), включая:
- Сетевые действия
- Действия по событиям
Для некоторых оповещений есть дополнительные вкладки, например сведения о:
- Атакуемые учетные записи, когда предполагаемая атака использовала метод подбора.
- Серверы системы доменных имен (DNS), когда предполагаемая атака была вовлечена в разведывательную разведку сетевого сопоставления (DNS).
Например:
Связанные сущности
В каждом оповещении последняя вкладка содержит связанные сущности. Связанные сущности — это все сущности, участвующие в подозрительном действии, без разделения "роли", которую они играли в оповещении. Каждая сущность содержит два файла JSON: Json уникальной сущности и Json профиля уникальной сущности. Используйте эти два файла JSON, чтобы узнать больше о сущности и помочь вам изучить оповещение.
Json-файл уникальной сущности
Включает сведения об учетной записи в Защитнике данных для удостоверений, полученном из Active Directory. Сюда входят все атрибуты, такие как различающееся имя, SID, LockoutTime и PasswordExpiryTime. Для учетных записей пользователей включает такие данные, как Department, Mail и PhoneNumber. Для учетных записей компьютеров включает такие данные, как OperatingSystem, IsDomainController и DnsName.
Json-файл уникального профиля сущности
Включает все данные Defender для удостоверений, профилированные в сущности. Defender для удостоверений использует действия сети и событий, захваченные для получения сведений о пользователях и компьютерах среды. Defender для удостоверений профилирование релевантных сведений для каждой сущности. Эти сведения обеспечивают возможности идентификации угроз в Defender для удостоверений.
Как использовать сведения Defender для удостоверений в расследовании?
Исследования могут быть подробными по мере необходимости. Ниже приведены некоторые идеи о способах исследования с использованием данных, предоставляемых Defender для удостоверений.
- Проверьте, принадлежат ли все связанные пользователи к одной группе или отделу.
- Используют ли связанные пользователи ресурсы, приложения или компьютеры?
- Активна ли учетная запись, несмотря на то, что пароль PasswordExpiryTime уже передан?
Defender для удостоверений и NNR (разрешение сетевых имен)
Возможности Обнаружения удостоверений Defender для удостоверений используют активное разрешение сетевых имен (NNR) для разрешения IP-адресов на компьютеры в вашей организации. Используя NNR, Defender для удостоверений может коррелировать между необработанными действиями (содержащими IP-адреса) и соответствующими компьютерами, участвующими в каждом действии. На основе необработанных действий Defender для удостоверений профилирует сущности, включая компьютеры, и создает оповещения.
Данные NNR имеют решающее значение для обнаружения следующих оповещений:
- Подозрение на кражу удостоверений (pass-the-ticket)
- Предполагаемая атака DCSync (репликация служб каталогов)
- Разведывательная разведка сопоставления сети (DNS)
Используйте сведения о NNR, указанные на вкладке Сетевые действия отчета о скачивании оповещений, чтобы определить, является ли оповещение FP. В случае оповещений FP обычно результат определенности NNR предоставляется с низкой достоверностью.
Данные отчета о скачивании отображаются в двух столбцах:
Исходный или целевой компьютер
- Определенность — определенность с низким разрешением может указывать на неправильное разрешение имен.
Исходный или целевой компьютер
- Метод разрешения — предоставляет методы NNR, используемые для разрешения IP-адреса на компьютер в организации.
Дополнительные сведения о работе с оповещениями системы безопасности Defender для удостоверений см. в статье Работа с оповещениями системы безопасности.