Microsoft Defender pro výstrahy zabezpečení identity

Poznámka

Funkce, které Microsoft Defender pro identitu jsou vysvětleny na této stránce, jsou dostupné taky pomocí nového portálu.

Microsoft Defender pro identitu výstrahy zabezpečení vysvětlují podezřelé aktivity zjištěné Defender pro identitu senzory ve vaší síti a aktéry a počítače, které se podílejí na každé hrozbě. Seznamy legitimace výstrah obsahují přímé odkazy na zúčastněné uživatele a počítače, aby bylo možné vaše vyšetřování snadno a rychle zvýšit.

Defender pro identitu výstrahy zabezpečení jsou rozdělené do následujících kategorií nebo fází, podobně jako v případě fází zobrazených v typickém dezaktivačním řetězu internetového útoku. Přečtěte si další informace o jednotlivých fázích, upozorněních určených k detekci jednotlivých útoků a o tom, jak používat výstrahy k ochraně sítě pomocí následujících odkazů:

  1. Výstrahy fáze rekognoskace
  2. Výstrahy fáze zneužití přihlašovacích údajů
  3. Výstrahy fáze pohybu na okraji
  4. Výstrahy fáze dominantního postavení domény
  5. Výstrahy fáze exfiltrace

Další informace o struktuře a běžných součástech všech Defender pro identitu výstrah zabezpečení najdete v tématu Principy výstrah zabezpečení.

Mapování názvu výstrahy zabezpečení a jedinečných externích ID

V následující tabulce je uveden seznam mapování mezi názvy výstrah, jejich odpovídajícími jedinečnými externími identifikátory a jejich Microsoft Cloud App Security ID výstrah. Při použití se skripty nebo automatizací doporučuje společnost Microsoft používat místo názvů výstrah externí ID výstrah, protože pouze externí ID výstrahy zabezpečení jsou trvalá a nemusejí se měnit.

Název výstrahy zabezpečení Jedinečné externí ID Závažnost MITRE ATT&CK Matrix™
Rekognoskace výčtu účtů 2003 Střední Zjišťování
Atributy služby Active Directory rekognoskace (LDAP) 2210 Střední Zjišťování
Data exfiltrace přes SMB 2030 Vysoká Exfiltrace
Boční pohyb,
Příkazy a ovládání
Vzdálené spuštění kódu Exchange serveru (CVE-2021-26855) 2414 Vysoká Laterální pohyb
Aktivita honeytokenu 2014 Střední Přístup k přihlašovacím údajům
Zjišťování
Škodlivá žádost o Data Protection API hlavní klíč 2020 Vysoká Přístup k přihlašovacím údajům
Mapování sítě rekognoskace (DNS) 2007 Střední Zjišťování
Pokus o vzdálené spuštění kódu 2019 Střední Realizaci
Dočasné
Eskalace oprávnění,
Obrany proti úniku,
Laterální pohyb
Vzdálené spuštění kódu přes DNS 2036 Střední Eskalace oprávnění,
Laterální pohyb
Objekt zabezpečení rekognoskace (LDAP) 2038 Střední Přístup k přihlašovacím údajům
Podezření jako na útok Roasting jako REP 2412 Vysoká Přístup k přihlašovacím údajům
Podezření na útok hrubou silou (Kerberos, NTLM) 2023 Střední Přístup k přihlašovacím údajům
Podezřelý útok hrubou silou (LDAP) 2004 Střední Přístup k přihlašovacím údajům
Podezřelý útok hrubou silou (SMB) 2033 Střední Laterální pohyb
Podezřelý útok DCShadow (povýšení řadiče domény) 2028 Vysoká Podaňová povinnost ochrany
Podezřelý útok DCShadow (požadavek na replikaci řadiče domény) 2029 Vysoká Podaňová povinnost ochrany
Podezřelý útok DCSync (replikace adresářových služeb) 2006 Vysoká Dočasné
Přístup k přihlašovacím údajům
Podezřelý pokus o zneužití ve službě zařazování tisku ve Windows 2415 Vysoká nebo Střední Laterální pohyb
Podezřelé použití zlatého lístku (downgrade šifrování) 2009 Střední Eskalace oprávnění
Laterální pohyb,
Trvalosti
Podezřelé použití zlatého lístku (z forgovaná autorizační data) 2013 Vysoká Eskalace oprávnění
Laterální pohyb,
Trvalosti
Podezření na využití zlatého lístku (neexistující účet) 2027 Vysoká Eskalace oprávnění
Laterální pohyb,
Trvalosti
Podezřelé využití zlatého lístku (anomálie lístku) 2032 Vysoká Eskalace oprávnění
Laterální pohyb,
Trvalosti
Podezřelé využití zlatého lístku (anomálie lístků s využitím RBCD) 2040 Vysoká Trvalosti
Podezřelé použití zlatého lístku (časová anomálie) 2022 Vysoká Eskalace oprávnění
Laterální pohyb,
Trvalosti
Podezření na krádež identity (pass-the-hash) 2017 Vysoká Laterální pohyb
Podezření na krádež identity (pass-the-ticket) 2018 Vysoká nebo Střední Laterální pohyb
Podezření na odhalení pn protokolu Kerberos (externí ID 2410) 2410 Vysoká Přístup k přihlašovacím údajům
Podezření na pokus o zvýšení oprávnění Netlogon (CVE-2020-1472 zneužití) 2411 Vysoká Elevace oprávnění
Podezřelé síťové připojení přes systém souborů EFS (Encrypting File System) protokolEM (Remote Protocol) 2416 Vysoká nebo Střední Laterální pohyb
Podezření na manipulaci s ověřováním NTLM 2039 Střední Eskalace oprávnění
Laterální pohyb
Podezřelý útok s předáváním NTLM 2037 Střední nebo nízká, pokud se pozoruje pomocí podepsaného protokolu NTLM v2 Eskalace oprávnění
Laterální pohyb
Podezření na útok overpass-the-hash (Kerberos) 2002 Střední Laterální pohyb
Podezření na použití podvodného certifikátu Kerberos 2047 Vysoká Laterální pohyb
Podezřelý útok skeleton key (downgrade šifrování) 2010 Střední Laterální pohyb,
Trvalosti
Podezření na manipulaci s pakety SMB (CVE-2020-0796 zneužití) – (Preview) 2406 Vysoká Laterální pohyb
Podezření na použití architektury hackingu metasploit 2034 Střední Laterální pohyb
Podezřelý útok ransomwaru WannaCry 2035 Střední Laterální pohyb
Podezřelé přidávání citlivých skupin 2024 Střední Přístup k přihlašovacím údajům
Trvalosti
Podezřelá komunikace přes DNS 2031 Střední Exfiltrace
Podezřelé vytvoření služby 2026 Střední Realizaci
Dočasné
Eskalace oprávnění,
Obrany proti úniku,
Laterální pohyb
Podezřelé připojení VPN 2025 Střední Dočasné
Podaňová povinnost ochrany
Rekognoskace členství uživatelů a skupin (SAMR) 2021 Střední Zjišťování
Uživatel a IP adresa rekognoskace (SMB) 2012 Střední Zjišťování

Poznámka

Pokud chcete zakázat jakoukoli výstrahu zabezpečení, obraťte se na podporu.

Viz také