výstrahy zabezpečení Microsoft Defender for Identity

Poznámka

K prostředí popsanému na této stránce můžete také přistupovat https://security.microsoft.com v rámci Microsoft 365 Defender.

výstrahy zabezpečení Microsoft Defender for Identity vysvětlují podezřelé aktivity zjištěné programem Defender pro senzory Identity ve vaší síti a aktéry a počítače, které jsou součástí každé hrozby. Seznamy legitimace výstrah obsahují přímé odkazy na zúčastněné uživatele a počítače, aby bylo možné vaše vyšetřování snadno a rychle zvýšit.

Defender pro výstrahy zabezpečení identity je rozdělen do následujících kategorií nebo fází, jako jsou fáze zobrazené v typickém dezaktivačním řetězu pro počítačové útoky. Přečtěte si další informace o jednotlivých fázích, upozorněních určených k detekci jednotlivých útoků a o tom, jak používat výstrahy k ochraně sítě pomocí následujících odkazů:

  1. Výstrahy fáze rekognoskace
  2. Výstrahy fáze zneužití přihlašovacích údajů
  3. Výstrahy fáze pohybu na okraji
  4. Výstrahy fáze dominantního postavení domény
  5. Výstrahy fáze exfiltrace

Další informace o struktuře a běžných součástech všech Defenderů pro výstrahy zabezpečení identity najdete v tématu Principy výstrah zabezpečení.

Mapování názvu výstrahy zabezpečení a jedinečných externích ID

V následující tabulce je uveden seznam mapování mezi názvy výstrah, jejich odpovídajícími jedinečnými externími identifikátory, jejich závažností a MITREou cílem ATT & CK Matrix™. Při použití se skripty nebo automatizací doporučuje společnost Microsoft používat místo názvů výstrah externí ID výstrah, protože pouze externí ID výstrahy zabezpečení jsou trvalá a nemusejí se měnit.

Externí ID

Název výstrahy zabezpečení Jedinečné externí ID Závažnost ™ MITRE ATT & CK Matrix
Podezřelá Overpass-the-hash – útok (Kerberos) 2002 Střední Laterální pohyb
Rekognoskace výčtu účtů 2003 Střední Zjišťování
Podezřelý útok hrubou silou (LDAP) 2004 Střední Přístup k přihlašovacím údajům
Podezřelý útok DCSync (replikace adresářových služeb) 2006 Vysoká Trvalost, přístup k přihlašovacím údajům
Mapování sítě rekognoskace (DNS) 2007 Střední Zjišťování
Podezřelé použití zlatého lístku (downgrade šifrování) 2009 Střední Eskalace oprávnění, příčný pohyb, trvalost
Podezřelý útok z podklíče šifrování (downgrade) 2010 Střední Boční pohyb, trvalost
Uživatel a IP adresa rekognoskace (SMB) 2012 Střední Zjišťování
Podezřelé použití zlatého lístku (data s falešným oprávněním) 2013 Vysoká Eskalace oprávnění, příčný pohyb, trvalost
Aktivita honeytokenu 2014 Střední Přístup k přihlašovacím údajům, zjišťování
Podezření na krádež identity (pass-the-hash) 2017 Vysoká Laterální pohyb
Podezření na krádež identity (pass-the-Ticket) 2018 Vysoká nebo střední Laterální pohyb
Pokus o vzdálené spuštění kódu 2019 Střední Provádění, trvalosti, eskalace oprávnění, úniková povinnost ochrany, boční pohyb
Škodlivá žádost o Data Protection API hlavní klíč 2020 Vysoká Přístup k přihlašovacím údajům
Rekognoskace členství uživatelů a skupin (SAMR) 2021 Střední Zjišťování
Podezřelé použití zlatého lístku (časová anomálie) 2022 Vysoká Eskalace oprávnění, příčný pohyb, trvalost
Podezření na útok hrubou silou (Kerberos, NTLM) 2023 Střední Přístup k přihlašovacím údajům
Podezřelé přídavky citlivých skupin 2024 Střední Přístup k přihlašovacím údajům, trvalost
Podezřelé připojení VPN 2025 Střední Trvalost, úniková povinnost ochrany
Podezřelé vytvoření služby 2026 Střední Provádění, trvalost, eskalace oprávnění, obrana, laterální pohyb
Podezření na využití zlatého lístku (neexistující účet) 2027 Vysoká Eskalace oprávnění, laterální pohyb, trvalost
Podezřelý útok DCShadow (povýšení řadiče domény) 2028 Vysoká Obranná obrana
Podezřelý útok DCShadow (žádost o replikaci řadiče domény) 2029 Vysoká Obranná obrana
Exfiltrace dat přes protokol SMB 2030 Vysoká Exfiltrace, laterální pohyb, příkazy a řízení
Podezřelá komunikace přes DNS 2031 Střední Exfiltrace
Podezřelé využití zlatého lístku (anomálie lístku) 2032 Vysoká Eskalace oprávnění, laterální pohyb, trvalost
Podezřelý útok hrubou silou (SMB) 2033 Střední Laterální pohyb
Podezření na použití architektury hackingu metasploit 2034 Střední Laterální pohyb
Podezřelý útok ransomwaru WannaCry 2035 Střední Laterální pohyb
Vzdálené spuštění kódu přes DNS 2036 Střední Eskalace oprávnění, laterální pohyb
Podezřelý útok s předáváním NTLM 2037 Střední nebo nízká, pokud se pozoruje pomocí podepsaného protokolu NTLM v2 Eskalace oprávnění, laterální pohyb
Reconnaissance objektů zabezpečení (LDAP) 2038 Střední Přístup k přihlašovacím údajům
Podezření na manipulaci s ověřováním NTLM 2039 Střední Eskalace oprávnění, laterální pohyb
Podezřelé využití zlatého lístku (anomálie lístků s využitím RBCD) 2040 Vysoká Trvalosti
Podezření na použití podvodného certifikátu Kerberos 2047 Vysoká Laterální pohyb
Reconnaissance atributů služby Active Directory (LDAP) 2210 Střední Zjišťování
Podezření na manipulaci s pakety SMB (CVE-2020-0796 zneužití) – (Preview) 2406 Vysoká Laterální pohyb
Podezření na odhalení pn protokolu Kerberos (externí ID 2410) 2410 Vysoká Přístup k přihlašovacím údajům
Podezření na pokus o zvýšení oprávnění Netlogon (CVE-2020-1472 zneužití) 2411 Vysoká Elevace oprávnění
Podezřelý útok na pražení AS-REP 2412 Vysoká Přístup k přihlašovacím údajům
Exchange Server vzdáleného spuštění kódu (CVE-2021-26855) 2414 Vysoká Laterální pohyb
Podezřelý pokus o zneužití Windows zařazování tisku 2415 Vysoká nebo Střední Laterální pohyb
Podezřelé síťové připojení přes systém souborů EFS (Encrypting File System) Remote Protocol 2416 Vysoká nebo Střední Laterální pohyb
Podezřelé úpravy atributu sAMNameAccount (CVE-2021-42278 a CVE-2021-42287 zneužití) 2419 Vysoká Přístup k přihlašovacím údajům

Poznámka

Pokud chcete zakázat jakoukoli výstrahu zabezpečení, obraťte se na podporu.

Viz také