Azure ATP-SicherheitswarnungenAzure ATP Security Alerts

Azure ATP-Sicherheitswarnungen erklären die durch Azure ATP-Sensoren in Ihrem Netzwerk erkannten verdächtigen Aktivitäten sowie die an den betreffenden Bedrohungen beteiligten Akteure und Computer.Azure ATP security alerts explain the suspicious activities detected by Azure ATP sensors on your network, and the actors and computers involved in each threat. Damit Sie einfach und direkt weitere Untersuchungen durchführen können, enthalten Beweislisten für Sicherheitswarnungen direkte Links zu den betroffenen Benutzern und Computern.Alert evidence lists contain direct links to the involved users and computers, to help make your investigations easy and direct.

Azure ATP-Sicherheitswarnungen werden in die folgenden Kategorien oder Phasen unterteilt, wie die Phasen in einer typischen „Kill Chain“ eines Cyberangriffs.Azure ATP security alerts are divided into the following categories or phases, like the phases seen in a typical cyber-attack kill chain. Öffnen Sie die folgenden Links, um mehr über die einzelnen Phasen, die Warnungen zur Erkennung der verschiedenen Angriffe sowie über die Verwendung der Warnungen zum Schutz Ihres Netzwerks zu erfahren:Learn more about each phase, the alerts designed to detect each attack, and how to use the alerts to help protect your network using the following links:

  1. Warnung zu ReconnaissancephaseReconnaissance phase alerts
  2. Warnungen zu Phase der kompromittierten AnmeldeinformationenCompromised credential phase alerts
  3. Lateral movement phase alerts (Warnung zur Lateral Movement-Phase)Lateral movement phase alerts
  4. Warnungen zu DomänendominanzphaseDomain dominance phase alerts
  5. Warnungen zu ExfiltrationsphaseExfiltration phase alerts

Weitere Informationen zur Struktur und zu gängigen Komponenten der Azure ATP-Sicherheitswarnungen finden Sie unter Understanding security alerts (Grundlegendes zu Sicherheitswarnungen).To learn more about the structure and common components of all Azure ATP security alerts, see Understanding security alerts.

Zuordnen von Sicherheitswarnungsnamen und eindeutigen externen IDsSecurity alert name mapping and unique external IDs

In Version 2.56 wurden alle Sicherheitswarnungen für Azure ATP umbenannt. Die neuen Namen sind jetzt verständlicher.In version 2.56, all existing Azure ATP security alerts were renamed with easier to understand names. In der folgenden Tabelle sind die neuen und alten Namen sowie die eindeutigen externalIds nebeneinander aufgelistet.Mapping between old and new names, and their corresponding unique externalIds are as listed in the following table. Für Skripts oder die Automatisierung empfiehlt Microsoft die Verwendung von externen IDs zur Warnung anstelle von Warnungsnamen, da nur externe IDs dauerhaft für Sicherheitswarnungen verwendet und nicht geändert werden.When used with scripts or automation, Microsoft recommends use of alert external IDs in place of alert names, as only security alert external IDs are permanent, and not subject to change.

Neuer SicherheitswarnungsnameNew security alert name Alter SicherheitswarnungsnamePrevious security alert name Eindeutige externe IDUnique external ID SchweregradSeverity MITRE ATT&CK Matrix™MITRE ATT&CK Matrix™
Reconnaissance mithilfe von KontoenumerationAccount enumeration reconnaissance Reconnaissance mithilfe von KontoenumerationReconnaissance using account enumeration 20032003 MittelMedium ErmittlungDiscovery
Data exfiltration over SMB (Datenexfiltration über den SMB)Data exfiltration over SMB N/VNA 20302030 HochHigh Exfiltration,Exfiltration,
Seitliche Verschiebung,Lateral movement,
Befehl und SteuerelementCommand and control
Honeytoken-AktivitätHoneytoken activity Honeytoken-AktivitätHoneytoken activity 20142014 MittelMedium Zugriff über Anmeldeinformationen,Credential access,
ErmittlungDiscovery
Malicious request of Data Protection API master key (Böswillige Anforderung eines Masterschlüssels zur Datenschutz-API)Malicious request of Data Protection API master key Böswillige Anforderung privater Informationen im Rahmen der DatensicherheitMalicious Data Protection Private Information Request 20202020 HochHigh Zugriff über AnmeldeinformationenCredential access
Network mapping reconnaissance (DNS) (Reconnaissance über Netzwerkzuordnung (DNS))Network mapping reconnaissance (DNS) Reconnaissance über DNSReconnaissance using DNS 20072007 MittelMedium ErmittlungDiscovery
Versuchte RemotecodeausführungRemote code execution attempt Versuchte Remote-CodeausführungRemote code execution attempt 20192019 MittelMedium Ausführung,Execution,
Persistenz,Persistence,
Ausweitung von Berechtigungen,Privilege escalation,
Umgehung der Verteidigung,Defense evasion,
Seitliche VerschiebungLateral movement
Remotecodeausführung über DNSRemote code execution over DNS N/VNA 20362036 MittelMedium Ausweitung von Berechtigungen,Privilege escalation,
Seitliche VerschiebungLateral movement
Sicherheitsprinzipalreconnaissance (LDAP)Security principal reconnaissance (LDAP) N/VNA 20382038 MittelMedium Zugriff über AnmeldeinformationenCredential access
Suspected Brute Force attack (Kerberos NTLM) (Verdacht auf einen Brute-Force-Angriff (Kerberos NTLM))Suspected brute force attack (Kerberos, NTLM) Verdächtige AuthentifizierungsfehlerSuspicious authentication failures 20232023 MittelMedium Zugriff über AnmeldeinformationenCredential access
Suspected Brute Force attack (LDAP) (Verdacht auf einen Brute-Force-Angriff (LDAP))Suspected brute force attack (LDAP) Brute-Force-Angriff mithilfe einer einfachen LDAP-BindungBrute force attack using LDAP simple bind 20042004 MittelMedium Zugriff über AnmeldeinformationenCredential access
Suspected Brute Force attack (SMB) (Verdacht auf einen Brute-Force-Angriff (SMB))Suspected brute force attack (SMB) Ungewöhnliche Protokollimplementierung (potenzielle Verwendung schädlicher Tools wie Hydra)Unusual protocol implementation (potential use of malicious tools such as Hydra) 20332033 MittelMedium Seitliche VerschiebungLateral movement
Suspected DCShadow attack (domain controller promotion) (Verdacht auf DCShadow-Angriff (Heraufstufung von Domänencontrollern))Suspected DCShadow attack (domain controller promotion) Verdächtige Heraufstufung zu Domänencontrollern (potenzieller DcShadow-Angriff)Suspicious domain controller promotion (potential DCShadow attack) 20282028 HochHigh Umgehung der VerteidigungDefense evasion
Verdacht auf DCShadow-Angriff (Replikationsanforderung an Domänencontroller)Suspected DCShadow attack (domain controller replication request) Verdächtige Replikationsanforderung von Domänencontroller (potenzieller DCShadow-Angriff)Suspicious domain controller replication request (potential DCShadow attack) 20292029 HochHigh Umgehung der VerteidigungDefense evasion
Suspected DCSync attack (replication of directory services) (Verdacht auf einen DCSync-Angriff (Replikation von Verzeichnisdiensten))Suspected DCSync attack (replication of directory services) Böswillige Replikation von VerzeichnisdienstenMalicious replication of directory services 20062006 HochHigh Persistenz,Persistence,
Zugriff über AnmeldeinformationenCredential access
Verdacht auf Verwendung eines Golden Ticket (Herabstufung der Verschlüsselung)Suspected Golden Ticket usage (encryption downgrade) Aktivität zur Herabstufung der Verschlüsselung (potenzieller Golden Ticket-Angriff)Encryption downgrade activity (potential golden ticket attack) 20092009 MittelMedium Ausweitung von Berechtigungen,Privilege Escalation,
Seitliche Verschiebung,Lateral movement,
PersistenzPersistence
Suspected Golden Ticket usage (forged authorization data) (Verdacht auf Verwendung eines Golden Ticket (gefälschte Autorisierungsdaten))Suspected Golden Ticket usage (forged authorization data) Berechtigungsausweitung mithilfe von gefälschten AutorisierungsdatenPrivilege escalation using forged authorization data 20132013 HochHigh Ausweitung von Berechtigungen,Privilege escalation,
Seitliche Verschiebung,Lateral movement,
PersistenzPersistence
Suspected golden ticket usage (nonexistent account) (Verdacht auf Verwendung eines Golden Ticket (nicht vorhandenes Konto))Suspected Golden Ticket usage (nonexistent account) Kerberos Golden Ticket: nicht vorhandenes KontoKerberos Golden Ticket - nonexistent account 20272027 HochHigh Ausweitung von Berechtigungen,Privilege Escalation,
Seitliche Verschiebung,Lateral movement,
PersistenzPersistence
Vermutete Golden Ticket-Verwendung (Ticketanomalie)Suspected Golden Ticket usage (ticket anomaly) N/VNA 20322032 HochHigh Ausweitung von Berechtigungen,Privilege Escalation,
Seitliche Verschiebung,Lateral movement,
PersistenzPersistence
Suspected golden ticket usage (time anomaly) (Verdacht auf Verwendung eines Golden Ticket (Zeitanomalie))Suspected Golden Ticket usage (time anomaly) Kerberos Golden Ticket – ZeitanomalieKerberos Golden Ticket - time anomaly 20222022 HochHigh Ausweitung von Berechtigungen,Privilege Escalation,
Seitliche Verschiebung,Lateral movement,
PersistenzPersistence
Suspected identity theft (Pass-the-Hash) (Verdacht auf Identitätsdiebstahl (Pass-the-Hash))Suspected identity theft (pass-the-hash) Identitätsdiebstahl mithilfe eines Pass-the-Hash-AngriffsIdentity theft using Pass-the-Hash attack 20172017 HochHigh Seitliche VerschiebungLateral movement
Suspected identity theft (Pass-the-Ticket) (Verdacht auf Identitätsdiebstahl (Pass-the-Ticket))Suspected identity theft (pass-the-ticket) Identitätsdiebstahl mithilfe eines Pass-the-Ticket-AngriffsIdentity theft using Pass-the-Ticket attack 20182018 Hoch oder MittelHigh or Medium Seitliche VerschiebungLateral movement
Suspected NTLM authentication tampering (Vermutete Manipulation der NTLM-Authentifizierung)Suspected NTLM authentication tampering N/VNA 20392039 MittelMedium Ausweitung von Berechtigungen,Privilege escalation,
Seitliche VerschiebungLateral movement
Vermuteter NTLM-RelaisangriffSuspected NTLM relay attack N/VNA 20372037 Mittel oder Niedrig, wenn mithilfe von signiertem NTLMv2-Protokoll beobachtetMedium or Low if observed using signed NTLM v2 protocol Ausweitung von Berechtigungen,Privilege escalation,
Seitliche VerschiebungLateral movement
Suspected over-pass-the-hash attack (encryption downgrade) (Verdacht auf Over-Pass-the-Hash-Angriff (Herabstufung der Verschlüsselung))Suspected over-pass-the-hash attack (encryption downgrade) Aktivität zur Herabstufung der Verschlüsselung (potenzieller Overpass-the-Hash-Angriff)Encryption downgrade activity (potential overpass-the-hash attack) 20082008 MittelMedium Seitliche VerschiebungLateral movement
Suspected overpass-the-hash attack (Kerberos) (Verdacht auf einen Overpass-the-Hash-Angriff (Kerberos))Suspected overpass-the-hash attack (Kerberos) Ungewöhnliche Kerberos-Protokollimplementierung (potenzieller Overpass-the-Hash-Angriff)Unusual Kerberos protocol implementation (potential overpass-the-hash attack) 20022002 MittelMedium Seitliche VerschiebungLateral movement
Suspected Skeleton Key attack (encryption downgrade) (Verdacht auf Skeleton-Key-Angriff (Herabstufung der Verschlüsselung))Suspected skeleton key attack (encryption downgrade) Aktivität zur Herabstufung der Verschlüsselung (potenzieller Skeleton Key-Angriff)Encryption downgrade activity (potential skeleton key attack) 20102010 MittelMedium Seitliche Verschiebung,Lateral movement,
PersistenzPersistence
Suspected use of Metasploit hacking framework (Verdacht auf Verwendung eines Hackerframeworks)Suspected use of Metasploit hacking framework Ungewöhnliche Protokollimplementierung (potenzielle Verwendung schädlicher Hackertools wie Metasploit)Unusual protocol implementation (potential use of Metasploit hacking tools) 20342034 MittelMedium Seitliche VerschiebungLateral movement
Suspected WannaCry ransomware attack (Verdacht auf einen WannaCry-Ransomangriff)Suspected WannaCry ransomware attack Ungewöhnliche Protokollimplementierung (potenzieller WannaCry-Ransomwareangriff)Unusual protocol implementation (potential WannaCry ransomware attack) 20352035 MittelMedium Seitliche VerschiebungLateral movement
Verdächtige Kommunikation über DNSSuspicious communication over DNS Verdächtige Kommunikation über DNSSuspicious communication over DNS 20312031 MittelMedium ExfiltrationExfiltration
Verdächtige Ergänzungen zu sensiblen GruppenSuspicious additions to sensitive groups Verdächtige Ergänzungen zu sensiblen GruppenSuspicious additions to sensitive groups 20242024 MittelMedium Zugriff über Anmeldeinformationen,Credential access,
PersistenzPersistence
Erstellen eines verdächtigen DienstsSuspicious service creation Erstellen eines verdächtigen DienstsSuspicious service creation 20262026 MittelMedium Ausführung,Execution,
Persistenz,Persistence,
Ausweitung von Berechtigungen,Privilege Escalation,
Umgehung der Verteidigung,Defense evasion,
Seitliche VerschiebungLateral movement
Verdächtige VPN-VerbindungSuspicious VPN connection Verdächtige VPN-VerbindungSuspicious VPN connection 20252025 MittelMedium Persistenz,Persistence,
Umgehung der VerteidigungDefense evasion
User and group membership reconnaissance (SAMR) (Reconnaissance über Benutzer und Gruppenmitgliedschaften (SAMR))User and group membership reconnaissance (SAMR) Reconnaissance mithilfe von VerzeichnisdienstabfragenReconnaissance using directory services queries 20212021 MittelMedium ErmittlungDiscovery
User and IP address reconnaissance (SMB) (Reconnaissance über Benutzer und IP-Adressen (SMB))User and IP address reconnaissance (SMB) Reconnaissance mithilfe der SMB-SitzungsenumerationReconnaissance using SMB Session Enumeration 20122012 MittelMedium ErmittlungDiscovery

Hinweis

Wenn Sie eine Sicherheitswarnung deaktivieren möchten, wenden Sie sich an den Support.To disable any security alert, contact support.

Weitere InformationenSee Also