Microsoft Defender for Identity中的安全警报

注意

可以在 https://security.microsoft.com Microsoft Defender XDR 访问本页中所述的体验。

Microsoft Defender for Identity安全警报说明 Defender for Identity 传感器在网络上检测到的可疑活动，以及每个威胁中涉及的参与者和计算机。 警报证据列表包含所涉及的用户和计算机的直接链接，帮助你轻松开展调查。

Defender for Identity 安全警报分为以下类别或阶段，如典型的网络攻击杀伤链中看到的阶段。 详细了解每个阶段、用于检测每个攻击的警报，以及如何使用警报通过以下链接帮助保护网络：

1. 侦查和发现警报
2. 持久性和特权提升警报
3. 凭据访问警报
4. 横向移动警报
5. 其他警报

若要详细了解所有 Defender for Identity 安全警报的结构和常见组件，请参阅 了解安全警报。

安全警报名称映射和唯一外部 ID

下表列出了警报名称、其相应的唯一外部 ID、严重性和 MITRE ATT&CK 矩阵™策略之间的映射。 与脚本或自动化一起使用时，Microsoft建议使用警报外部 ID 来代替警报名称，因为只有安全警报外部 ID 是永久性的，不会发生更改。

外部 ID

安全警报名称	唯一的外部 ID	Severity	MITRE ATT&CK 矩阵™
可疑 SID-History 注入	1106	高	特权提升
Kerberos) (可疑的超交哈希攻击	2002	中	横向移动
帐户枚举侦查	2003	中	发现
可疑暴力攻击 (LDAP)	2004	中	凭据访问
可疑的 DCSync 攻击 (复制目录服务)	2006	高	凭据访问、持久性
网络映射侦查 (DNS)	2007	中	发现
可疑的过度传递哈希攻击 (强制加密类型)	2008	中	横向移动
可疑的黄金票证使用情况 (加密降级)	2009	中	持久性、特权提升、横向移动
疑似骨架密钥攻击 (加密降级)	2010	中	持久性、横向移动
用户和 IP 地址侦查 (SMB)	2012	中	发现
可疑的黄金票证使用情况 (伪造的授权数据)	2013	高	凭据访问
Honeytoken 身份验证活动	2014	中	凭据访问、发现
疑似身份盗用 (传递哈希)	2017	高	横向移动
疑似身份盗用 (票证)	2018	高或中	横向移动
远程代码执行尝试	2019	中	执行、持久性、权限提升、防御规避、横向移动
恶意请求数据保护 API 主密钥	2020	高	凭据访问
用户和组成员身份侦查 (SAMR)	2021	中	发现
可疑的黄金票证使用情况 (时间异常)	2022	高	持久性、特权提升、横向移动
疑似暴力攻击 (Kerberos、NTLM)	2023	中	凭据访问
对敏感组的可疑添加	2024	中	持久性、凭据访问、
可疑的 VPN 连接	2025	中	防御规避、持久性
可疑服务创建	2026	中	执行、持久性、特权提升、防御规避、横向移动
可疑的黄金票证使用情况 (不存在的帐户)	2027	高	持久性、特权提升、横向移动
可疑 DCShadow 攻击 (域控制器升级)	2028	高	防御规避
域控制器复制请求 (可疑 DCShadow 攻击)	2029	高	防御规避
通过 SMB 进行数据外泄	2030	高	外泄、横向移动、命令和控制
通过 DNS 进行可疑通信	2031	中	外泄
可疑的黄金票证使用情况 (票证异常)	2032	高	持久性、特权提升、横向移动
可疑暴力攻击 (SMB)	2033	中	横向移动
可疑使用 Metasploit 黑客攻击框架	2034	中	横向移动
可疑的 WannaCry 勒索软件攻击	2035	中	横向移动
通过 DNS 执行远程代码	2036	中	横向移动、特权提升
可疑 NTLM 中继攻击	2037	如果使用已签名的 NTLM v2 协议观察到，则为“中等”或“低”	横向移动、特权提升
安全主体侦查 (LDAP)	2038	在案例解决问题或检测到特定工具) 和中等时 (高	凭据访问
可疑的 NTLM 身份验证篡改	2039	中	横向移动、特权提升
可疑的黄金票证使用情况 (使用 RBCD) 的票证异常	2040	高	持久性
可疑的恶意 Kerberos 证书使用情况	2047	高	横向移动
使用 BronzeBit 方法的可疑 Kerberos 委派尝试 (CVE-2020-17049 利用)	2048	中	凭据访问
Active Directory 属性侦查 (LDAP)	2210	中	发现
可疑的 SMB 数据包操作 (CVE-2020-0796 利用)	2406	高	横向移动
可疑的 Kerberos SPN 暴露	2410	高	凭据访问
可疑的 Netlogon 特权提升尝试 (CVE-2020-1472 利用)	2411	高	特权提升
可疑 AS-REP 烘焙攻击	2412	高	凭据访问
可疑的 AD FS DKM 密钥读取	2413	高	凭据访问
Exchange Server远程代码执行 (CVE-2021-26855)	2414	高	横向移动
Windows 打印后台处理程序服务上可疑的利用尝试	2415	高或中	横向移动
加密文件系统远程协议的可疑网络连接	2416	高或中	横向移动
可疑的 Kerberos 票证请求	2418	高	凭据访问
sAMNameAccount 属性 (CVE-2021-42278 和 CVE-2021-42287 漏洞利用)	2419	高	凭据访问
AD FS 服务器信任关系的可疑修改	2420	中	特权提升
可疑修改 dNSHostName 属性 (CVE-2022-26923)	2421	高	特权提升
新创建的计算机进行的可疑 Kerberos 委派尝试	2422	高	特权提升
计算机帐户对基于资源的约束委派属性的可疑修改	2423	高	特权提升
异常Active Directory 联合身份验证服务 (AD FS) 使用可疑证书进行身份验证	2424	高	凭据访问
通过 Kerberos 协议 (PKINIT) 使用可疑证书	2425	高	横向移动
使用分布式文件系统协议的可疑 DFSCoerce 攻击	2426	高	凭据访问
修改了 Honeytoken 用户属性	2427	高	持久性
Honeytoken 组成员身份已更改	2428	高	持久性
通过 LDAP 查询了 Honeytoken	2429	低	发现
域 AdminSdHolder 的可疑修改	2430	高	持久性
使用影子凭据的可疑帐户接管	2431	高	凭据访问
可疑的域控制器证书请求 (ESC8)	2432	高	权限提升
证书数据库条目的可疑删除	2433	中	防御规避
可疑禁用 AD CS 的审核筛选器	2434	中	防御规避
对 AD CS 安全权限/设置的可疑修改	2435	中	权限提升
帐户枚举侦查 (LDAP) ( 预览版)	2437	中	帐户发现、域帐户
目录服务还原模式密码更改	2438	中	持久性、帐户操作
通过 SAM-R 查询了 Honeytoken	2439	低	发现
组策略篡改	2440	中	防御规避

注意

若要禁用任何安全警报，请联系支持人员。

另请参阅

• 使用安全警报
• 了解安全警报
• 查看 Defender for Identity 论坛！