Alertas de seguridad de Microsoft Defender for Identity

Nota

También se puede acceder a la experiencia descrita en esta página en https://security.microsoft.com como parte de Microsoft 365 Defender.

Microsoft Defender for Identity alertas de seguridad explican las actividades sospechosas detectadas por los sensores de Defender for Identity en la red y los actores y equipos implicados en cada amenaza. Las listas de evidencias de alerta contienen vínculos directos a los equipos y los usuarios implicados, para que las investigaciones resulten fáciles y directas.

Las alertas de seguridad de Defender for Identity se dividen en las siguientes categorías o fases, como las fases que se ven en una cadena típica de eliminación de ataques cibernéticos. Siga estos vínculos si quiere obtener más información sobre cada fase, las alertas diseñadas para detectar cada ataque y el uso de las alertas para ayudar a proteger su red:

  1. Alertas de la fase de reconocimiento
  2. Alertas de la fase de credenciales en peligro
  3. Alertas de la fase de desplazamiento lateral
  4. Alertas de la fase de dominación de dominio
  5. Alertas de la fase de filtración

Para más información sobre la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Descripción de las alertas de seguridad.

Asignación de nombre de alerta de seguridad e identificadores externos únicos

En la tabla siguiente se muestra la asignación entre los nombres de alerta, sus identificadores externos únicos correspondientes, su gravedad y su táctica de matriz de MITRE ATT&CK™. Microsoft recomienda el uso de identificadores externos únicos de alerta en lugar de nombres de alerta cuando se usen scripts o automatización, ya que únicamente los identificadores externos de alerta de seguridad son permanentes y no están sujetos a cambios.

Identificadores externos

Nombre de alerta de seguridad Id. externo único Gravedad Matriz™ DE MITRE ATT&CK
Sospecha de ataque Overpass-the-Hash (Kerberos) 2002 Mediana Desplazamiento lateral
Reconocimiento de enumeración de cuentas 2003 Mediana Detección
Sospecha de ataque por fuerza bruta (LDAP) 2004 Mediana Acceso de credencial
Sospecha de ataque DCSync (replicación de servicios de directorio) 2006 Alto Persistencia, acceso a credenciales
Reconocimiento de asignación de redes (DNS) 2007 Mediana Detección
Sospecha de uso de golden ticket (degradación de cifrado) 2009 Mediana Elevación de privilegios, movimiento lateral, persistencia
Sospecha de ataque de llave maestra (degradación de cifrado) 2010 Mediana Desplazamiento lateral, persistencia
Reconocimiento de usuario y dirección IP (SMB) 2012 Mediana Detección
Sospecha de uso de golden ticket (datos de autorización falsificados) 2013 Alto Elevación de privilegios, movimiento lateral, persistencia
Actividad de honeytoken 2014 Mediana Acceso a credenciales, detección
Sospecha de robo de identidad (Pass-the-Hash) 2017 Alto Movimiento lateral
Sospecha de robo de identidad (Pass-the-Hash) 2018 Alto o medio Desplazamiento lateral
Intento de ejecución remota de código 2019 Mediana Ejecución, persistencia, elevación de privilegios, evasión de defensa, movimiento lateral
Solicitud malintencionada de clave maestra de la API de protección de datos 2020 Alto Acceso de credencial
Reconocimiento de pertenencia a usuarios y grupos (SAMR) 2021 Mediana Detección
Sospecha de uso de golden ticket (anomalía temporal) 2022 Alto Elevación de privilegios, movimiento lateral, persistencia
Sospecha de ataque por fuerza bruta (Kerberos, NTLM) 2023 Mediana Acceso de credencial
Adiciones anómalas a grupos confidenciales 2024 Mediana Acceso a credenciales, persistencia
Conexión de VPN sospechosa 2025 Mediana Persistencia, evasión de defensa
Creación de servicios sospechosos 2026 Mediana Ejecución, persistencia, elevación de privilegios, evasión de defensa, movimiento lateral
Sospecha de uso de golden ticket (cuenta inexistente) 2027 Alto Elevación de privilegios, movimiento lateral, persistencia
Sospecha de ataque DCShadow (promoción de controlador de dominio) 2028 Alto Evasión de la defensa
Sospecha de ataque DCShadow (solicitud de replicación de controlador de dominio) 2029 Alto Evasión de la defensa
Filtración de datos a través de SMB 2030 Alto Filtración, movimiento lateral, comando y control
Comunicación sospechosa a través de DNS 2031 Mediana Filtración
Sospecha de uso de golden ticket (anomalía del vale) 2032 Alto Elevación de privilegios, movimiento lateral, persistencia
Sospecha de ataque por fuerza bruta (SMB) 2033 Mediana Movimiento lateral
Sospecha de uso del marco de pirateo Metasploit 2034 Mediana Movimiento lateral
Presunto ataque de ransomware WannaCry 2035 Mediana Desplazamiento lateral
Ejecución remota de código sobre DNS 2036 Mediana Elevación de privilegios, movimiento lateral
Sospecha de ataque de retransmisión de NTLM 2037 Medio o bajo si se observa mediante el protocolo NTLM v2 firmado Elevación de privilegios, movimiento lateral
Reconocimiento de entidad de seguridad (LDAP) 2038 Mediana Acceso de credencial
Sospecha de alteración de la autenticación NTLM 2039 Mediana Elevación de privilegios, movimiento lateral
Sospecha de uso de golden ticket (anomalía del vale mediante RBCD) 2040 Alto Persistencia
Uso de un certificado Kerberos sospechoso de no estar autorizado 2047 Alto Movimiento lateral
Reconocimiento de los atributos de Active Directory (LDAP) 2210 Mediana Detección
Sospecha de manipulación de paquetes SMB (vulnerabilidad CVE-2020-0796): (versión preliminar) 2406 Alto Desplazamiento lateral
Exposición de SPN de Kerberos sospechosa (identificador externo 2410) 2410 Alto Acceso de credencial
Sospecha de intento de elevación de privilegios de Netlogon (abuso CVE-2020-1472) 2411 Alto Elevación de privilegios
Sospecha de ataque AS-REP Roasting 2412 Alto Acceso de credencial
Ejecución remota de código de Exchange Server (CVE-2021-26855) 2414 Alto Movimiento lateral
Sospecha de intento de aprovechamiento de vulnerabilidad de seguridad en el servicio Windows Print Spooler 2415 Alto o medio Desplazamiento lateral
Conexión de red sospechosa a través del protocolo remoto del sistema de archivos de cifrado 2416 Alto o medio Desplazamiento lateral
Modificación sospechosa de un atributo sAMNameAccount (CVE-2021-42278 y CVE-2021-42287) 2419 Alto Acceso de credencial

Nota

Para deshabilitar una alerta de seguridad, póngase en contacto con el soporte técnico.

Consulte también