avvisi di sicurezza Microsoft Defender per identità

  • Articolo
  • 4 minuti per la lettura

Nota

L'esperienza descritta in questa pagina può essere accessibile come https://security.microsoft.com parte di Microsoft 365 Defender.

Microsoft Defender per identità avvisi di sicurezza spiegano le attività sospette rilevate da Defender for Identity sensori nella rete e gli attori e i computer coinvolti in ogni minaccia. Gli elenchi di evidenze degli avvisi contengono collegamenti diretti ai computer e agli utenti interessati per rendere le indagini semplici e dirette.

Gli avvisi di sicurezza defender per identità sono suddivisi nelle categorie o nelle fasi seguenti, ad esempio le fasi viste in una tipica catena di attacchi informatici. Per altre informazioni su ogni fase, sugli avvisi che consentono di rilevare ogni attacco e su come usare gli avvisi per proteggere la rete, vedere i collegamenti seguenti:

  1. Avvisi della fase di ricognizione
  2. Avvisi della fase di violazione delle credenziali
  3. Avvisi della fase di spostamento laterale
  4. Avvisi della fase di dominanza del dominio
  5. Avvisi della fase esfiltrazione

Per altre informazioni sulla struttura e sui componenti comuni di tutti gli avvisi di sicurezza defender for Identity, vedere Informazioni sugli avvisi di sicurezza.

Mapping del nome degli avvisi di sicurezza e ID esterni univoci

Nella tabella seguente viene elencato il mapping tra nomi di avviso, ID esterni univoci corrispondenti, gravità e tattiche MITRE ATT&CK Matrix™. Quando si usano script o operazioni automatizzate, è consigliabile usare gli ID esterni degli avvisi anziché i nomi in quanto solo gli ID esterni degli avvisi di sicurezza sono permanenti e non sono soggetti a modifica.

ID esterni

Nome dell'avviso di sicurezza ID esterno univoco Gravità Matrice™ MITRE ATT&CK
Sospetto attacco Overpass-the-Hash (Kerberos) 2002 Media Spostamento laterale
Ricognizione tramite enumerazione account 2003 Media Individuazione
Sospetto attacco di forza bruta (LDAP) 2004 Media Accesso credenziali
Sospetto attacco DCSync (replica di servizi directory) 2006 Alta Persistenza, accesso alle credenziali
Ricognizione con mapping della rete (DNS) 2007 Media Individuazione
Sospetto utilizzo di Golden Ticket (downgrade della crittografia) 2009 Media Escalation dei privilegi, movimento laterale, persistenza
Sospetto attacco Skeleton Key (downgrade della crittografia) 2010 Media Spostamento laterale, persistenza
Ricognizione di indirizzi IP e utenti (SMB) 2012 Media Individuazione
Sospetto utilizzo di Golden Ticket (dati di autorizzazione contraffatti) 2013 Alta Escalation dei privilegi, spostamento laterale, persistenza
Attività di tipo honeytoken 2014 Media Accesso alle credenziali, individuazione
Sospetto furto di identità (Pass-the-Hash) 2017 Alta Movimento laterale
Sospetto furto di identità (Pass-the-Ticket) 2018 Alta o media Spostamento laterale
Tentativo di esecuzione remota del codice 2019 Media Esecuzione, persistenza, escalation dei privilegi, evasione della difesa, movimento laterale
Richiesta dannosa della chiave master di Data Protection API 2020 Alta Accesso credenziali
Ricognizione dell'appartenenza a utenti e gruppi (SAMR) 2021 Media Individuazione
Sospetto utilizzo di Golden Ticket (anomalia temporale) 2022 Alta Escalation dei privilegi, movimento laterale, persistenza
Sospetto attacco di forza bruta (Kerberos, NTLM) 2023 Media Accesso credenziali
Aggiunte sospette a gruppi riservati 2024 Media Accesso alle credenziali, persistenza
Connessione VPN sospetta 2025 Media Persistenza, evasione della difesa
Creazione di un servizio sospetto 2026 Media Esecuzione, persistenza, escalation dei privilegi, evasione della difesa, movimento laterale
Sospetto utilizzo di Golden Ticket (account inesistente) 2027 Alta Escalation dei privilegi, movimento laterale, persistenza
Sospetto attacco DCShadow (promozione controller di dominio) 2028 Alta Evasione di difesa
Sospetto attacco DCShadow (richiesta di replica del controller di dominio) 2029 Alta Evasione di difesa
Esfiltrazione di dati su SMB 2030 Alta Esfiltrazione, movimento laterale, comando e controllo
Comunicazione sospetta tramite DNS 2031 Media Esfiltrazione
Sospetto utilizzo di Golden Ticket (anomalia nel ticket) 2032 Alta Escalation dei privilegi, movimento laterale, persistenza
Sospetto attacco di forza bruta (SMB) 2033 Media Movimento laterale
Sospetto utilizzo del framework di pirateria informatica Metasploit 2034 Media Movimento laterale
Sospetto attacco ransomware WannaCry 2035 Media Spostamento laterale
Esecuzione di codice remoto su DNS 2036 Media Escalation dei privilegi, spostamento laterale
Sospetto attacco di tipo relay NTLM 2037 Media o bassa se rilevato usando il protocollo NTLM v2 firmato Escalation dei privilegi, spostamento laterale
Ricognizione tramite entità di sicurezza (LDAP) 2038 Media Accesso credenziali
Sospetta manomissione dell'autenticazione NTLM 2039 Media Escalation dei privilegi, spostamento laterale
Sospetto utilizzo di Golden Ticket (anomalia nel con delega con vincoli in base alle risorse) 2040 Alta Persistenza
Sospetto utilizzo di un certificato Kerberos non autorizzato 2047 Alta Movimento laterale
Ricognizione degli attributi di Active Directory (LDAP) 2210 Media Individuazione
Manipolazione di pacchetto SMB sospetto (sfruttamento CVE-2020-0796) - (anteprima) 2406 Alta Spostamento laterale
Esposizione di nome dell'entità servizio Kerberos sospetto (ID esterno 2410) 2410 Alta Accesso credenziali
Sospetto tentativo di elevazione dei privilegi di Netlogon (sfruttamento CVE-2020-1472) 2411 Alta Escalation privilegi
Sospetto attacco di arrosto AS-REP 2412 Alta Accesso credenziali
Exchange Server esecuzione del codice remoto (CVE-2021-26855) 2414 Alta Movimento laterale
Sospetto tentativo di sfruttamento nel servizio Spooler di Stampa windows 2415 Alta o media Spostamento laterale
Connessione di rete sospetta tramite Crittografia del protocollo remoto del file system 2416 Alta o media Spostamento laterale
Modifica sospetta di un attributo sAMNameAccount (CVE-2021-42278 e CVE-2021-42287 exploit) 2419 Alta Accesso credenziali

Nota

Per disabilitare un avviso di sicurezza, contattare l'assistenza tecnica.

Vedere anche