Alertas de seguridad de Azure ATPAzure ATP Security Alerts

Nota

Las características de Azure ATP que se describen en esta página también están disponibles mediante el uso del nuevo portal.The Azure ATP features explained on this page are also accessible using the new portal.

Las alertas de seguridad de Azure ATP explican las actividades sospechosas detectadas por los sensores de Azure ATP en la red y los actores y los equipos que participan en cada amenaza.Azure ATP security alerts explain the suspicious activities detected by Azure ATP sensors on your network, and the actors and computers involved in each threat. Las listas de evidencias de alerta contienen vínculos directos a los equipos y los usuarios implicados, para que las investigaciones resulten fáciles y directas.Alert evidence lists contain direct links to the involved users and computers, to help make your investigations easy and direct.

Las alertas de seguridad de Azure ATP se clasifican en las siguientes categorías o fases, del mismo modo que las fases que conforman una cadena de eliminación de ciberataques estándar.Azure ATP security alerts are divided into the following categories or phases, like the phases seen in a typical cyber-attack kill chain. Siga estos vínculos si quiere obtener más información sobre cada fase, las alertas diseñadas para detectar cada ataque y el uso de las alertas para ayudar a proteger su red:Learn more about each phase, the alerts designed to detect each attack, and how to use the alerts to help protect your network using the following links:

  1. Alertas de la fase de reconocimientoReconnaissance phase alerts
  2. Alertas de la fase de credenciales en peligroCompromised credential phase alerts
  3. Alertas de la fase de desplazamiento lateralLateral movement phase alerts
  4. Alertas de la fase de dominación de dominioDomain dominance phase alerts
  5. Alertas de la fase de filtraciónExfiltration phase alerts

Para más información sobre la estructura y los componentes comunes de todas las alertas de seguridad de Azure ATP, vea Descripción de alertas de seguridad.To learn more about the structure and common components of all Azure ATP security alerts, see Understanding security alerts.

Asignación de nombre de alerta de seguridad e identificadores externos únicosSecurity alert name mapping and unique external IDs

En la tabla siguiente se muestra la asignación entre los nombres de alerta, sus identificadores externos únicos correspondientes y sus identificadores de alerta de Microsoft Cloud App Security.The following table lists the mapping between alert names, their corresponding unique external IDs, and their Microsoft Cloud App Security alert IDs. Microsoft recomienda el uso de identificadores externos únicos de alerta en lugar de nombres de alerta cuando se usen scripts o automatización, ya que únicamente los identificadores externos de alerta de seguridad son permanentes y no están sujetos a cambios.When used with scripts or automation, Microsoft recommends use of alert external IDs in place of alert names, as only security alert external IDs are permanent, and not subject to change.

Nombre de la alerta de seguridadSecurity alert name Id. externo únicoUnique external ID GravedadSeverity MITRE ATT&CK Matrix™MITRE ATT&CK Matrix™
Reconocimiento de enumeración de cuentasAccount enumeration reconnaissance 20032003 MedianaMedium DetecciónDiscovery
Filtración de datos a través de SMBData exfiltration over SMB 20302030 AltoHigh Filtración,Exfiltration,
Movimiento lateral,Lateral movement,
Comando y controlCommand and control
Actividad de honeytokenHoneytoken activity 20142014 MedianaMedium Acceso de credencial,Credential access,
DetecciónDiscovery
Solicitud malintencionada de clave maestra de la API de protección de datosMalicious request of Data Protection API master key 20202020 AltoHigh Acceso de credencialCredential access
Reconocimiento de asignación de redes (DNS)Network mapping reconnaissance (DNS) 20072007 MedianaMedium DetecciónDiscovery
Intento de ejecución remota de códigoRemote code execution attempt 20192019 MedianaMedium Ejecución,Execution,
Persistencia yPersistence,
Elevación de privilegios,Privilege escalation,
Evasión de la defensa,Defense evasion,
Movimiento lateralLateral movement
Ejecución remota de código sobre DNSRemote code execution over DNS 20362036 MedianaMedium Elevación de privilegios,Privilege escalation,
Movimiento lateralLateral movement
Reconocimiento de entidad de seguridad (LDAP)Security principal reconnaissance (LDAP) 20382038 MedianaMedium Acceso de credencialCredential access
Sospecha de ataque por fuerza bruta (Kerberos, NTLM)Suspected brute force attack (Kerberos, NTLM) 20232023 MedianaMedium Acceso de credencialCredential access
Sospecha de ataque por fuerza bruta (LDAP)Suspected brute force attack (LDAP) 20042004 MedianaMedium Acceso de credencialCredential access
Sospecha de ataque por fuerza bruta (SMB)Suspected brute force attack (SMB) 20332033 MedianaMedium Movimiento lateralLateral movement
Sospecha de ataque DCShadow (promoción de controlador de dominio)Suspected DCShadow attack (domain controller promotion) 20282028 AltoHigh Evasión de la defensaDefense evasion
Sospecha de ataque DCShadow (solicitud de replicación de controlador de dominio)Suspected DCShadow attack (domain controller replication request) 20292029 AltoHigh Evasión de la defensaDefense evasion
Sospecha de ataque DCSync (replicación de servicios de directorio)Suspected DCSync attack (replication of directory services) 20062006 AltoHigh Persistencia yPersistence,
Acceso de credencialCredential access
Sospecha de uso de golden ticket (degradación de cifrado)Suspected Golden Ticket usage (encryption downgrade) 20092009 MedianaMedium Elevación de privilegios,Privilege Escalation,
Movimiento lateral,Lateral movement,
PersistenciaPersistence
Sospecha de uso de golden ticket (datos de autorización falsificados)Suspected Golden Ticket usage (forged authorization data) 20132013 AltoHigh Elevación de privilegios,Privilege escalation,
Movimiento lateral,Lateral movement,
PersistenciaPersistence
Sospecha de uso de golden ticket (cuenta inexistente)Suspected Golden Ticket usage (nonexistent account) 20272027 AltoHigh Elevación de privilegios,Privilege Escalation,
Movimiento lateral,Lateral movement,
PersistenciaPersistence
Sospecha de uso de golden ticket (anomalía del vale)Suspected Golden Ticket usage (ticket anomaly) 20322032 AltoHigh Elevación de privilegios,Privilege Escalation,
Movimiento lateral,Lateral movement,
PersistenciaPersistence
Sospecha de uso de golden ticket (anomalía temporal)Suspected Golden Ticket usage (time anomaly) 20222022 AltoHigh Elevación de privilegios,Privilege Escalation,
Movimiento lateral,Lateral movement,
PersistenciaPersistence
Sospecha de robo de identidad (Pass-the-Hash)Suspected identity theft (pass-the-hash) 20172017 AltoHigh Movimiento lateralLateral movement
Sospecha de robo de identidad (Pass-the-Ticket)Suspected identity theft (pass-the-ticket) 20182018 Alto o medioHigh or Medium Movimiento lateralLateral movement
Sospecha de alteración de la autenticación NTLMSuspected NTLM authentication tampering 20392039 MedianaMedium Elevación de privilegios,Privilege escalation, 
Movimiento lateralLateral movement
Sospecha de ataque de retransmisión de NTLMSuspected NTLM relay attack 20372037 Medio o bajo si se observa mediante el protocolo NTLM v2 firmadoMedium or Low if observed using signed NTLM v2 protocol Elevación de privilegios,Privilege escalation, 
Movimiento lateralLateral movement
Sospecha de ataque Overpass-the-Hash (degradación de cifrado)Suspected over-pass-the-hash attack (encryption downgrade) 20082008 MedianaMedium Movimiento lateralLateral movement
Sospecha de ataque Overpass-the-Hash (Kerberos)Suspected overpass-the-hash attack (Kerberos) 20022002 MedianaMedium Movimiento lateralLateral movement
Sospecha de ataque de llave maestra (degradación de cifrado)Suspected skeleton key attack (encryption downgrade) 20102010 MedianaMedium Movimiento lateral,Lateral movement,
PersistenciaPersistence
Sospecha de manipulación de paquetes SMB (vulnerabilidad CVE-2020-0796): (versión preliminar)Suspected SMB packet manipulation (CVE-2020-0796 exploitation) - (preview) 24062406 AltoHigh Movimiento lateralLateral movement
Sospecha de uso del marco de pirateo MetasploitSuspected use of Metasploit hacking framework 20342034 MedianaMedium Movimiento lateralLateral movement
Presunto ataque de ransomware WannaCrySuspected WannaCry ransomware attack 20352035 MedianaMedium Movimiento lateralLateral movement
Adiciones anómalas a grupos confidencialesSuspicious additions to sensitive groups 20242024 MedianaMedium Acceso de credencial,Credential access,
PersistenciaPersistence
Comunicación sospechosa a través de DNSSuspicious communication over DNS 20312031 MedianaMedium FiltraciónExfiltration
Creación de servicios sospechososSuspicious service creation 20262026 MedianaMedium Ejecución,Execution,
Persistencia yPersistence,
Elevación de privilegios,Privilege Escalation,
Evasión de la defensa,Defense evasion,
Movimiento lateralLateral movement
Conexión de VPN sospechosaSuspicious VPN connection 20252025 MedianaMedium Persistencia yPersistence,
Evasión de la defensaDefense evasion
Reconocimiento de pertenencia a grupos y usuarios (SAMR)User and group membership reconnaissance (SAMR) 20212021 MedianaMedium DetecciónDiscovery
Reconocimiento de usuario y dirección IP (SMB)User and IP address reconnaissance (SMB) 20122012 MedianaMedium DetecciónDiscovery