Microsoft Defender for Identity 中的安全警报

注意

本页中描述的体验可以作为 Microsoft Defender XDR 的一部分在 https://security.microsoft.com 中进行访问。

Microsoft Defender for Identity 安全警报说明了网络上 Defender for Identity 传感器检测到的可疑活动,以及每个威胁中涉及的行动者和计算机。 警报证据列表包含到相关用户和计算机的直接链接,以帮助使调查变得简单直接。

Defender for Identity 安全警报分为以下类别或阶段,如典型的网络攻击杀伤链中的阶段。 使用以下链接详细了解每个阶段以及专门用于检测每次攻击的警报以及如何使用警报帮助确保网络安全:

  1. 侦查和发现警报
  2. 暂留和特权提升警报
  3. 凭据访问警报
  4. 横向移动警报
  5. 其他警报

如需深入了解所有 Defender for Identity 安全警报的结构和常用组件,请参阅了解安全警报

安全警报名称映射和唯一外部 ID

下表列出了警报名称、其相应的唯一外部 ID、严重性及其 MITRE ATT&CK Matrix™ 策略之间的映射。 与脚本或自动化一起使用时,Microsoft 建议使用警报外部 ID 代替警报名称,因为只有安全警报外部 ID 为永久性 ID,不会发生更改。

外部 ID

安全警报名称 唯一外部 ID Severity MITRE ATT&CK Matrix™
可疑的 SID 历史记录注入 1106 特权提升
可疑的 overpass-the-hash 攻击 (Kerberos) 2002 横向移动
帐户枚举侦测 2003 发现
可疑的暴力攻击 (LDAP) 2004 凭据访问
可疑的 DCSync 攻击(目录服务复制) 2006 凭证访问、暂留
网络映射侦查 (DNS) 2007 发现
可疑的 over-pass-the-hash 攻击(强制加密类型) 2008 横向移动
可疑的黄金票证使用情况(加密降级) 2009 暂留、特权提升、横向移动
可疑的万能密钥攻击(加密降级) 2010 暂留、横向移动
用户和 IP 地址侦查 (SMB) 2012 发现
可疑的黄金票证使用(伪造授权数据) 2013 凭据访问
蜜标身份验证活动 2014 凭证访问、发现
可疑的身份盗用(哈希传递) 2017 横向移动
可疑的身份盗用 (pass-the-ticket) 2018 高或中等 横向移动
远程代码执行尝试 2019 执行、暂留、特权提升、防御规避、横向移动
恶意请求数据保护 API 主密钥 2020 凭据访问
用户和组成员身份侦查 (SAMR) 2021 发现
可疑的黄金票证使用情况(时间异常) 2022 暂留、特权提升、横向移动
可疑的暴力攻击(Kerberos、NTLM) 2023 凭据访问
敏感组中的可疑内容添加 2024 暂留、凭据访问
可疑的 VPN 连接 2025 防御规避、暂留
可疑的服务创建 2026 执行、暂留、特权提升、防御规避、横向移动
可疑的黄金票证使用情况(不存在帐户) 2027 暂留、特权提升、横向移动
可疑 DCShadow 攻击(域控制器升级) 2028 防御规避
可疑 DCShadow 攻击(域控制器复制请求) 2029 防御规避
通过 SMB 进行的数据外泄 2030 外泄、横向移动、命令和控制
通过 DNS 的可疑通信 2031 外泄
可疑的黄金票证使用情况(票证异常) 2032 暂留、特权提升、横向移动
可疑的暴力攻击 (SMB) 2033 横向移动
疑似使用 Metasploit 黑客攻击框架 2034 横向移动
可疑的 WannaCry 勒索软件攻击 20:35 横向移动
通过 DNS 的远程代码执行 2036 横向移动、特权提升
可疑的 NTLM 中继攻击 2037 中等或低(如果使用已签名 NTLM v2 协议观测到) 横向移动、特权提升
安全主体侦查 (LDAP) 2038 高(在解决问题或检测到特定工具的情况下)和中等 凭据访问
可疑的 NTLM 身份验证篡改 2039 横向移动、特权提升
可疑的黄金票证使用情况(使用 RBCD 的票证异常) 2040 持久性
可疑的恶意 Kerberos 证书使用情况 2047 横向移动
使用 BronzeBit 方法的可疑 Kerberos 委派尝试(CVE-2020-17049 漏洞) 2048 凭据访问
Active Directory 属性侦查 (LDAP) 2210 发现
可疑的 SMB 数据包操纵(CVE-2020-0796 漏洞) 2406 横向移动
可疑的 Kerberos SPN 风险 2410 凭据访问
可疑的 Netlogon 特权提升尝试(CVE-2020-1472 攻击) 2411 特权提升
可疑的 AS-REP Roasting 攻击 2412 凭据访问
可疑的 AD FS DKM 密钥读取 2413 凭据访问
Exchange 服务器远程代码执行 (CVE-2021-26855) 2414 横向移动
怀疑 Windows 打印后台处理程序服务上存在攻击企图 2415 高或中等 横向移动
基于加密文件系统远程协议的可疑网络连接 2416 高或中等 横向移动
可疑的 Kerberos 票证请求 2418 凭据访问
对 sAMNameAccount 属性的可疑修改(CVE-2021-42278 和 CVE-2021-42287 攻击) 2419 凭据访问
AD FS 服务器信任关系的可疑修改 2420 特权提升
dNSHostName 属性的可疑修改 (CVE-2022-26923) 2421 特权提升
新创建的计算机的可疑 Kerberos 委派尝试 2422 特权提升
计算机帐户对基于资源的约束委派属性的可疑修改 2423 特权提升
使用可疑证书的异常 Active Directory 联合身份验证服务 (AD FS) 身份验证 2424 凭据访问
通过 Kerberos (PKINIT) 协议的可疑证书使用 2425 横向移动
使用分布式文件系统协议的可疑 DFSCoerce 攻击 2426 凭据访问
修改了蜜标用户属性 2427 持久性
更改了蜜标组成员身份 2428 持久性
已通过 LDAP 查询蜜标 2429 发现
域 AdminSdHolder 的可疑修改 2430 持久性
使用影子凭据的可疑帐户接管 2431 凭据访问
可疑的域控制器证书请求 (ESC8) 2432 权限提升
证书数据库条目的可疑删除 2433 防御规避
AD CS 审核筛选器的可疑禁用 2434 防御规避
对 AD CS 安全权限/设置的可疑修改 2435 权限提升
帐户枚举侦查 (LDAP)(预览版) 2437 帐户发现,域帐户
目录服务还原模式密码更改 2438 持久性,帐户操作
已通过 SAM-R 查询蜜标 2439 发现
组策略篡改 2440 防御规避

注意

要禁用任何安全警报,请联系支持人员。

另请参阅