適用於身分識別的 Microsoft Defender 中的安全性警示

注意事項

您可以在 Microsoft Defender 全面偵測回應 中存取https://security.microsoft.com此頁面中所述的體驗。

適用於身分識別的 Microsoft Defender 安全性警示說明適用於身分識別的 Defender 感測器在您的網路上偵測到的可疑活動，以及涉及每個威脅的動作專案和計算機。 警示證據清單包含相關使用者和電腦的直接連結，以協助您輕鬆地直接調查。

適用於身分識別的 Defender 安全性警示分為下列類別或階段，例如典型的網路攻擊終止鏈結中所見的階段。 深入瞭解每個階段、專為偵測每個攻擊而設計的警示，以及如何使用警示來協助使用下列連結來保護您的網路：

1. 偵察和探索警示
2. 持續性和許可權提升警示
3. 認證存取警示
4. 橫向移動警示
5. 其他警示

若要深入瞭解所有適用於身分識別的 Defender 安全性警示的結構和通用元件，請參閱 瞭解安全性警示。

安全性警示名稱對應和唯一的外部標識碼

下表列出警示名稱、其對應的唯一外部標識碼、其嚴重性，以及其MITRE ATT&CK 矩陣策略之間的對™應。 搭配腳本或自動化使用時，Microsoft建議使用警示外部標識碼來取代警示名稱，因為只有安全性警示外部標識碼是永久性的，而且不會變更。

外部標識碼

安全性警示名稱	唯一外部標識碼	嚴重性	MITRE ATT&CK 矩陣 ™
可疑的 SID-History 插入	1106	高	權限提升
Kerberos (可疑的 overpass-the-hash 攻擊)	2002	中	水平擴散
帳戶列舉偵察	2003	中	探索
可疑的暴力密碼破解攻擊 (LDAP)	2004	中	認證存取
可疑的DCSync攻擊 (目錄服務複寫)	2006	高	認證存取，持續性
網路對應偵察 (DNS)	2007	中	探索
可疑的傳遞哈希攻擊 (強制加密類型)	2008	中	水平擴散
可疑的黃金票證使用 (加密降級)	2009	中	持續性、許可權提升、橫向移動
可疑的基本架構金鑰攻擊 (加密降級)	2010	中	持續性、橫向移動
SMB) (使用者和IP位址偵察	2012	中	探索
可疑的黃金票證使用 (偽造的授權數據)	2013	高	認證存取
Honeytoken 驗證活動	2014	中	認證存取，探索
可疑的身分識別竊取 (傳遞哈希)	2017 年	高	水平擴散
可疑的身分識別竊取 (票證傳遞)	2018	高或中	水平擴散
遠端程式代碼執行嘗試	2019	中	執行， 持續性， 許可權提升， 防禦規避， 橫向移動
數據保護 API 主要金鑰的惡意要求	2020	高	認證存取
SAMR) (使用者和群組成員資格偵察	2021	中	探索
可疑的黃金票證使用 (時間異常)	2022	高	持續性、許可權提升、橫向移動
可疑的暴力密碼破解攻擊 (Kerberos、NTLM)	2023	中	認證存取
敏感性群組的可疑新增	2024	中	持續性、認證存取、
可疑的 VPN 連線	2025	中	防禦規避、持續性
可疑的服務建立	2026	中	執行、持續性、許可權提升、防禦規避、橫向移動
可疑的黃金票證使用 (不存在的帳戶)	2027	高	持續性、許可權提升、橫向移動
域控制器升級 (可疑的DCShadow攻擊)	2028	高	防禦規避
域控制器複寫要求 (可疑的DCShadow攻擊)	2029	高	防禦規避
透過SMB的數據外流	2030	高	外流、橫向移動、命令和控件
透過 DNS 的可疑通訊	2031	中	外流
可疑的黃金票證使用 (票證異常)	2032	高	持續性、許可權提升、橫向移動
可疑的暴力密碼破解攻擊 (SMB)	2033	中	水平擴散
可疑使用 Metasploit 入侵架構	2034	中	水平擴散
可疑的 WannaCry 勒索軟體攻擊	2035	中	水平擴散
透過 DNS 執行遠端程式代碼	2036	中	橫向移動、許可權提升
可疑的NTLM轉送攻擊	2037	如果使用已簽署的NTLM v2通訊協議觀察到中或低	橫向移動、許可權提升
LDAP) (安全性主體偵察	2038	在) 和中偵測到解決問題或特定工具時的高 (	認證存取
可疑的NTLM驗證竄改	2039	中	橫向移動、許可權提升
可疑的黃金票證使用 (使用 RBCD) 的票證異常	2040	高	持續性
可疑的 Rogue Kerberos 憑證使用方式	2047	高	水平擴散
使用 BronzeBit 方法的可疑 Kerberos 委派嘗試 (CVE-2020-17049 惡意探索)	2048	中	認證存取
LDAP) (Active Directory 屬性偵察	2210	中	探索
CVE-2020-0796 惡意探索 (可疑的 SMB 封包操作)	2406	高	水平擴散
可疑的 Kerberos SPN 曝光	2410	高	認證存取
CVE-2020-1472 惡意探索 (可疑的 Netlogon 許可權提升嘗試)	2411	高	權限提升
可疑的 AS-REP 烘焙攻擊	2412	高	認證存取
可疑的AD FS DKM 金鑰讀取	2413	高	認證存取
Exchange Server 遠端程式代碼執行 (CVE-2021-26855)	2414	高	水平擴散
Windows 列印後台處理程式服務上可疑的惡意探索嘗試	2415	高或中	水平擴散
透過加密檔案系統遠端通訊協定的可疑網路連線	2416	高或中	水平擴散
可疑的 Kerberos 票證要求	2418	高	認證存取
可疑的修改 sAMNameAccount 屬性 (CVE-2021-42278 和 CVE-2021-42287 惡意探索)	2419	高	認證存取
可疑修改AD FS 伺服器的信任關係	2420	中	權限提升
CVE-2022-26923 (dNSHostName 屬性的可疑修改)	2421	高	權限提升
新建立計算機的可疑 Kerberos 委派嘗試	2422	高	權限提升
計算機帳戶對資源型限制委派屬性的可疑修改	2423	高	權限提升
使用可疑憑證 (AD FS) 驗證的異常 Active Directory 同盟服務	2424	高	認證存取
透過 Kerberos 通訊協定使用可疑的憑證 (PKINIT)	2425	高	水平擴散
使用分散式文件系統通訊協定的可疑 DFSCoerce 攻擊	2426	高	認證存取
Honeytoken 用戶屬性已修改	2427	高	持續性
Honeytoken 群組成員資格已變更	2428	高	持續性
Honeytoken 是透過LDAP查詢	2429	低	探索
可疑的網域 AdminSdHolder 修改	2430	高	持續性
使用陰影認證的可疑帳戶接管	2431	高	認證存取
ESC8 (可疑的域控制器憑證要求)	2432	高	許可權提升
可疑的憑證資料庫項目刪除	2433	中	防禦規避
可疑的 AD CS 稽核篩選器停用	2434	中	防禦規避
對 AD CS 安全性許可權/ 設定的可疑修改	2435	中	許可權提升
帳戶列舉偵察 (LDAP) ( Preview)	2437	中	帳戶探索，網域帳戶
目錄服務還原模式密碼變更	2438	中	持續性、帳戶操作
Honeytoken 是透過 SAM-R 查詢	2439	低	探索
群組原則 竄改	2440	中	防禦規避

注意事項

若要停用任何安全性警示，請連絡支持人員。

另請參閱

• 使用安全性警示
• 瞭解安全性警示
• 請參閱適用於身分識別的Defender論壇！