Microsoft Defender for Identity のセキュリティアラート

  • [アーティクル]

Note

このページで説明されているエクスペリエンスは、Microsoft Defender XDR の一部として https://security.microsoft.com でアクセスできます。

Microsoft Defender for Identity セキュリティ アラートでは、ネットワーク上の Defender for Identity センサーによって検出された疑わしいアクティビティおよび各脅威に関係するアクターとコンピューターについて説明します。 アラートの証拠リストには、調査を簡単で直接的にできるような、関係するユーザーとコンピューターへの直接リンクが含まれています。

Defender for Identity セキュリティ アラートは、一般的なサイバー攻撃キル チェーンで見られるフェーズと同様に、次のカテゴリまたはフェーズに分かれています。 各フェーズの詳細、各攻撃を検出するように設計されたアラート、およびアラートを使用して次のリンクを使用してネットワークを保護する方法について説明します。

  1. 偵察と検出アラート
  2. 永続化と特権エスカレーション アラート
  3. 資格情報アクセス アラート
  4. 横移動アラート
  5. その他のアラート

すべての Defender for Identity セキュリティ アラートの構造とよく使うコンポーネントの詳細については、「セキュリティ アラートを理解する」を参照してください。

セキュリティ アラート名のマッピングと一意の外部 ID

次の表では、アラート名、対応する一意の外部 ID、重大度、および MITRE ATT&CK Matrix™ 戦術のマッピングを示します。 スクリプトまたは自動化と共に使用する場合、Microsoft では、セキュリティ アラートの外部 ID のみが永続的で変更されないため、アラート名の代わりにアラート外部 ID を使用することをお勧めします。

外部 ID

セキュリティ アラート名 一意の外部 ID 重要度 MITRE ATT&CK Matrix™
SID ヒストリーインジェクションの疑い 1106 Privilege Escalation (特権昇格)
Overpass-the-hash 攻撃疑い (Kerberos) 2002 侵入拡大
アカウント列挙の偵察 2003 検出
ブルート フォース攻撃の疑い (LDAP) 2004 資格情報のアクセス
DCSync 攻撃の疑い (ディレクトリ サービスのレプリケーション) 2006 資格情報アクセス、永続化
ネットワーク マッピングの偵察 (DNS) 2007 検出
Over-Pass-the-Hash 攻撃の疑い (強制暗号化タイプ) 2008 侵入拡大
疑わしいゴールデン チケットの使用 (暗号化のダウングレード) 2009 永続化、権限エスカレーション、横移動
スケルトン キー攻撃の疑い (暗号化のダウングレード) 2010 永続化、横移動
ユーザーと IP アドレスの偵察 (SMB) 2012 検出
疑わしいゴールデン チケット使用 (偽造された承認データ) 2013 資格情報のアクセス
ハニートークン認証アクティビティ 2014 資格情報アクセス、検出
ID 盗難の疑い (pass-the-hash) 2017 侵入拡大
ID なりすましの疑い(パス ザ チケット) 2018 高程度または中程度 侵入拡大
リモートコード実行の試行 2019 実行、永続化、権限エスカレーション、防御回避、横移動
Data Protection API マスター キーの悪意のある要求 2020 資格情報のアクセス
ユーザーおよびグループ メンバーシップの偵察 (SAMR) 2021 検出
疑わしいゴールデン チケット使用 (時間異常) 2022 永続化、権限エスカレーション、横移動
ブルート フォース攻撃の疑い (Kerberos、NTLM) 2023 資格情報のアクセス
感度の高いグループへの疑わしい追加 2024 永続化、資格情報アクセス、
疑わしい VPN 接続 2025 防御回避、永続化
疑わしいサービス作成 2026 実行、永続化、権限エスカレーション、防御回避、横移動
疑わしいゴールデン チケット使用 (存在しないアカウント) 2027 永続化、権限エスカレーション、横移動
DCShadow 攻撃の疑い (ドメイン コントローラー昇格) 2028 防御回避
DCShadow 攻撃の疑い (ドメイン コントローラー レプリケーション要求) 2029 防御回避
SMB 経由のデータ流出 2030 流出、横移動、コマンドと制御
DNS 経由の疑わしい通信 2031 窃盗
疑わしいゴールデン チケット使用 (チケット異常) 2032 永続化、権限エスカレーション、横移動
ブルート フォース攻撃の疑い (SMB) 2033 侵入拡大
Metasploit ハッキング フレームワーク使用の疑い 2034 侵入拡大
WannaCry ランサムウェア攻撃の疑い 2035 侵入拡大
DNS 経由のリモート コード実行 2036 横移動、権限エスカレーション
NTLM リレー攻撃の疑い 2037 署名された NTLM v2 プロトコルを使用して発見された場合は中程度または低程度 横移動、権限エスカレーション
セキュリティ プリンシパルの偵察 (LDAP) 2038 資格情報のアクセス
NTLM 認証の改ざんの疑い 2039 横移動、権限エスカレーション
疑わしいゴールデン チケット使用 (RBCD を仕様したチケット異常) 2040 永続化
不正な Kerberos 証明書使用の疑い 2047 侵入拡大
BronzeBit 手法を使用した疑わしい Kerberos 委任の試行 (CVE-2020-17049 の悪用) 2048 資格情報のアクセス
Active Directory 属性の偵察 (LDAP) 2210 検出
SMB パケット操作の疑い (CVE-2020-0796 の悪用) 2406 侵入拡大
Kerberos SPN 露出の疑い 2410 資格情報のアクセス
Netlogon 権限昇格試行の疑い (CVE-2020-1472 の悪用) 2411 Privilege Escalation (特権昇格)
AS-REP Roasting 攻撃の疑い 2412 資格情報のアクセス
AD FS DKM キーが読み取られた可能性 2413 資格情報のアクセス
Exchange Server のリモートコード実行 (CVE-2021-26855) 2414 侵入拡大
Windows 印刷スプーラー サービスにおける悪用試行の疑い 2415 高程度または中程度 侵入拡大
暗号化ファイル システム リモート プロトコル経由の疑わしいネットワーク接続 2416 高程度または中程度 侵入拡大
疑わしい Kerberos チケット要求の疑い 2418 資格情報のアクセス
sAMNameAccount 属性の疑わしい変更 (CVE-2021-42278 および CVE-2021-42287 の悪用) 2419 資格情報のアクセス
AD FS サーバーの信頼関係の疑わしい変更 2420 Privilege Escalation (特権昇格)
dNSHostName 属性の疑わしい変更 (CVE-2022-26923) 2421 Privilege Escalation (特権昇格)
新しく作成されたコンピューターによる疑わしい Kerberos 委任の試行 2422 Privilege Escalation (特権昇格)
コンピューター アカウントによるリソース ベースの制約付き委任属性の疑わしい変更 2423 Privilege Escalation (特権昇格)
疑わしい証明書を使用した異常な Active Directory フェデレーション サービス (AD FS) 認証 2424 資格情報のアクセス
Kerberos プロトコル (PKINIT) を介した疑わしい証明書の使用 2425 侵入拡大
分散ファイル システム プロトコルを使用した疑わしい DFSCoerce 攻撃 2426 資格情報のアクセス
ハニートークンのユーザー属性が変更されました 2427 永続化
ハニートークン グループのメンバーシップが変更されました 2428 永続化
ハニートークンが LDAP 経由で照会されました 2429 探索
ドメイン AdminSdHolder の不審な変更 2430 永続化
シャドウ資格情報を使用したアカウント乗っ取りの疑い 2431 資格情報のアクセス
疑わしいドメイン コントローラー証明書要求 (ESC8) 2432 特権エスカレーション
証明書データベース エントリの疑わしい削除 2433 防御回避
AD CS の監査フィルターの疑わしい無効化 2434 防御回避
AD CS セキュリティのアクセス許可/設定に対する疑わしい変更 2435 特権エスカレーション
アカウント列挙攻撃の偵察 (LDAP) (プレビュー) 2437 アカウントの検出、ドメイン アカウント
Directory Services 復元モードのパスワード変更 (プレビュー) 2438 永続化、アカウント操作
ハニートークンが SAM-R 経由で照会されました 2439 探索

Note

セキュリティ アラートを無効にするには、サポートにお問い合わせください。

参照