Säkerhetsaviseringar i Microsoft Defender for Identity

Obs!

Den upplevelse som beskrivs på den här sidan kan nås på https://security.microsoft.com som en del av Microsoft Defender XDR.

Microsoft Defender for Identity säkerhetsaviseringar förklarar de misstänkta aktiviteter som identifieras av Defender för identitetssensorer i nätverket och de aktörer och datorer som är inblandade i varje hot. Listor över aviseringsbevis innehåller direkta länkar till berörda användare och datorer för att göra dina undersökningar enkla och direkta.

Säkerhetsaviseringar för Defender for Identity är indelade i följande kategorier eller faser, till exempel faserna som visas i en typisk kedja för cyberattacker. Läs mer om varje fas, aviseringarna som utformats för att identifiera varje attack och hur du använder aviseringarna för att skydda nätverket med hjälp av följande länkar:

1. Aviseringar om rekognosering och identifiering
2. Eskaleringsaviseringar för beständighet och privilegier
3. Åtkomstaviseringar för autentiseringsuppgifter
4. Laterala förflyttningsaviseringar
5. Andra aviseringar

Mer information om strukturen och de vanliga komponenterna i alla defender for Identity-säkerhetsaviseringar finns i Förstå säkerhetsaviseringar.

Mappning av säkerhetsaviseringar och unika externa ID:t

I följande tabell visas mappningen mellan aviseringsnamn, deras motsvarande unika externa ID: er, deras allvarlighetsgrad och deras MITRE ATT-&CK-matristaktik™. När det används med skript eller automatisering rekommenderar Microsoft att du använder externa aviserings-ID:t i stället för aviseringsnamn, eftersom endast externa ID:t för säkerhetsaviseringar är permanenta och inte kan ändras.

Externa ID:t

Namn på säkerhetsavisering	Unikt externt ID	Allvarlighetsgrad	MITRE ATT&CK-matris™
Misstänkt SID-History injektion	1106	Högsta	Privilegieeskalering
Misstänkt overpass-the-hash-attack (Kerberos)	2002	Medel	Lateral förflyttning
Rekognosering av kontouppräkning	2003	Medel	Identifiering
Misstänkt brute force-attack (LDAP)	2004	Medel	Åtkomst till autentiseringsuppgifter
Misstänkt DCSync-attack (replikering av katalogtjänster)	2006	Högsta	Åtkomst till autentiseringsuppgifter, beständighet
Rekognosering av nätverksmappning (DNS)	2007	Medel	Identifiering
Misstänkt over-pass-the-hash-attack (tvingad krypteringstyp)	2008	Medel	Lateral förflyttning
Misstänkt golden ticket-användning (nedgradering av kryptering)	2009	Medel	Beständighet, behörighetseskalering, lateral förflyttning
Misstänkt skeleton key-attack (nedgradering av kryptering)	2010	Medel	Beständighet, lateral förflyttning
Rekognosering av användare och IP-adresser (SMB)	2012	Medel	Identifiering
Misstänkt golden ticket-användning (förfalskade auktoriseringsdata)	2013	Högsta	Åtkomst till autentiseringsuppgifter
Honeytoken-autentiseringsaktivitet	2014	Medel	Åtkomst till autentiseringsuppgifter, identifiering
Misstänkt identitetsstöld (pass-the-hash)	2017	Högsta	Lateral förflyttning
Misstänkt identitetsstöld (pass-the-ticket)	2018	Hög eller medelhög	Lateral förflyttning
Körningsförsök för fjärrkod	2019	Medel	Execution, Persistence, Privilege escalation, Defense evasion, Lateral movement
Skadlig begäran av huvudnyckeln för Dataskydds-API:et	2020	Högsta	Åtkomst till autentiseringsuppgifter
Rekognosering av användar- och gruppmedlemskap (SAMR)	2021	Medel	Identifiering
Misstänkt golden ticket-användning (tidsavvikelse)	2022	Högsta	Beständighet, behörighetseskalering, lateral förflyttning
Misstänkt brute force-attack (Kerberos, NTLM)	2023	Medel	Åtkomst till autentiseringsuppgifter
Misstänkta tillägg till känsliga grupper	2024	Medel	Beständighet, åtkomst till autentiseringsuppgifter,
Misstänkt VPN-anslutning	2025	Medel	Försvarsundandragande, beständighet
Misstänkt skapande av tjänst	2026	Medel	Execution, Persistence, Privilege Escalation, Defense evasion, Lateral movement
Misstänkt golden ticket-användning (obefintligt konto)	2027	Högsta	Beständighet, behörighetseskalering, lateral förflyttning
Misstänkt DCShadow-attack (befordran av domänkontrollant)	2028	Högsta	Försvarsundandragande
Misstänkt DCShadow-attack (replikeringsbegäran för domänkontrollant)	2029	Högsta	Försvarsundandragande
Dataexfiltrering över SMB	2030	Högsta	Exfiltrering, lateral förflyttning, kommando och kontroll
Misstänkt kommunikation via DNS	2031	Medel	Exfiltrering
Misstänkt golden ticket-användning (biljettavvikelse)	2032	Högsta	Beständighet, behörighetseskalering, lateral förflyttning
Misstänkt brute force-attack (SMB)	2033	Medel	Lateral förflyttning
Misstänkt användning av Metasploit-hackningsramverk	2034	Medel	Lateral förflyttning
Misstänkt WannaCry utpressningstrojanattack	2035	Medel	Lateral förflyttning
Fjärrkörning av kod via DNS	2036	Medel	Lateral förflyttning, Privilegieeskalering
Misstänkt NTLM-reläattack	2037	Medel eller låg om det observeras med signerat NTLM v2-protokoll	Lateral förflyttning, Privilegieeskalering
Rekognosering av säkerhetsobjekt (LDAP)	2038	Hög (om lösningsproblem eller specifikt verktyg har identifierats) och medel	Åtkomst till autentiseringsuppgifter
Misstänkt manipulering av NTLM-autentisering	2039	Medel	Lateral förflyttning, Privilegieeskalering
Misstänkt golden ticket-användning (biljettavvikelse med RBCD)	2040	Högsta	Ihärdighet
Misstänkt oseriös Kerberos-certifikatanvändning	2047	Högsta	Lateral förflyttning
Misstänkt Kerberos-delegeringsförsök med bronzebit-metoden (CVE-2020-17049-exploatering)	2048	Medel	Åtkomst till autentiseringsuppgifter
Rekognosering av Active Directory-attribut (LDAP)	2210	Medel	Identifiering
Misstänkt SMB-paketmanipulering (CVE-2020-0796-exploatering)	2406	Högsta	Lateral förflyttning
Misstänkt Kerberos SPN-exponering	2410	Högsta	Åtkomst till autentiseringsuppgifter
Misstänkt försök till utökade Netlogon-privilegier (CVE-2020-1472-exploatering)	2411	Högsta	Privilegieeskalering
Misstänkt AS-REP-rostningsattack	2412	Högsta	Åtkomst till autentiseringsuppgifter
Misstänkt AD FS DKM-nyckel läst	2413	Högsta	Åtkomst till autentiseringsuppgifter
Exchange Server fjärrkörning av kod (CVE-2021-26855)	2414	Högsta	Lateral förflyttning
Misstänkt utnyttjandeförsök i Windows Print Spooler-tjänsten	2415	Hög eller medelhög	Lateral förflyttning
Misstänkt nätverksanslutning via remote protocol för krypterande filsystem	2416	Hög eller medelhög	Lateral förflyttning
Misstänkt misstänkt Kerberos-biljettbegäran	2418	Högsta	Åtkomst till autentiseringsuppgifter
Misstänkt ändring av ett sAMNameAccount-attribut (CVE-2021-42278 och CVE-2021-42287-utnyttjande)	2419	Högsta	Åtkomst till autentiseringsuppgifter
Misstänkt ändring av förtroenderelationen för AD FS-servern	2420	Medel	Privilegieeskalering
Misstänkt ändring av ett dNSHostName-attribut (CVE-2022-26923)	2421	Högsta	Privilegieeskalering
Misstänkt Kerberos-delegeringsförsök av en nyskapade dator	2422	Högsta	Privilegieeskalering
Misstänkt ändring av attributet Resursbaserad begränsad delegering av ett datorkonto	2423	Högsta	Privilegieeskalering
Autentisering med onormal Active Directory Federation Services (AD FS) (AD FS) med hjälp av ett misstänkt certifikat	2424	Högsta	Åtkomst till autentiseringsuppgifter
Misstänkt certifikatanvändning via Kerberos-protokoll (PKINIT)	2425	Högsta	Lateral förflyttning
Misstänkt DFSCoerce-attack med Distributed File System Protocol	2426	Högsta	Åtkomst till autentiseringsuppgifter
Honeytoken-användarattribut har ändrats	2427	Högsta	Ihärdighet
Honeytoken-gruppmedlemskap har ändrats	2428	Högsta	Ihärdighet
Honeytoken efterfrågades via LDAP	2429	Låg	Identifiering
Misstänkt ändring av domänen AdminSdHolder	2430	Högsta	Ihärdighet
Misstänkt kontoövertagande med skuggautentiseringsuppgifter	2431	Högsta	Åtkomst till autentiseringsuppgifter
Certifikatbegäran för misstänkt domänkontrollant (ESC8)	2432	Högsta	Behörighetseskalering
Misstänkt borttagning av certifikatdatabasposter	2433	Medel	Försvarsundandragande
Misstänkt inaktivering av granskningsfilter för AD CS	2434	Medel	Försvarsundandragande
Misstänkta ändringar av AD CS-säkerhetsbehörigheter/-inställningar	2435	Medel	Behörighetseskalering
Kontouppräkningsspaning (LDAP) (förhandsversion)	2437	Medel	Kontoidentifiering, domänkonto
Lösenordsändring för återställningsläge för katalogtjänster	2438	Medel	Beständighet, kontomanipulering
Honeytoken efterfrågades via SAM-R	2439	Låg	Identifiering
grupprincip manipulering	2440	Medel	Försvarsundandragande

Obs!

Om du vill inaktivera eventuella säkerhetsaviseringar kontaktar du supporten.

Se även

• Arbeta med säkerhetsaviseringar
• Förstå säkerhetsaviseringar
• Kolla in Defender for Identity-forumet!