Microsoft Defender for Identity 보안 경고

  • 아티클
  • 읽는 데 7분 걸림

참고

이 페이지에 설명된 환경은 Microsoft 365 Defender 일부로 액세스할 https://security.microsoft.com 수 있습니다.

Microsoft Defender for Identity 보안 경고는 네트워크의 Defender for Identity 센서에서 검색한 의심스러운 활동과 각 위협에 관련된 행위자 및 컴퓨터에 대해 설명합니다. 경고 증명 정보 목록에는 관련 사용자와 컴퓨터에 대한 직접 링크가 포함되어 있어 조사를 쉽고 직접적으로 수행할 수 있습니다.

Defender for Identity 보안 경고는 일반적인 사이버 공격 킬 체인에서 볼 수 있는 단계와 같이 다음과 같은 범주 또는 단계로 나뉩니다. 각 단계, 각 공격을 감지하도록 설계된 경고 및 다음 링크를 사용하여 네트워크를 보호하는 방법에 대해 자세히 알아봅니다.

  1. 정찰 단계 경고
  2. 손상된 자격 증명 단계 경고
  3. 횡적 이동 단계 경고
  4. 도메인 우위 단계 경고
  5. 반출 단계 경고

모든 Defender for Identity 보안 경고의 구조 및 일반적인 구성 요소에 대한 자세한 내용은 보안 경고 이해를 참조하세요.

보안 경고 이름 매핑 및 고유한 외부 ID

다음 표에서는 경고 이름, 해당 고유 외부 ID, 심각도 및 MITRE ATT&CK Matrix™ 전술 간의 매핑을 나열합니다. 스크립트 또는 자동화와 함께 사용하는 경우 Microsoft는 보안 경고 외부 ID만 영구적이며 변경 대상이 아니기 때문에 경고 이름 대신 경고 외부 ID를 사용할 것을 권장합니다.

외부 ID

보안 경고 이름 고유한 외부 ID 심각도 MITRE ATT&CK 행렬™
의심되는 Overpass-the-Hash 공격(Kerberos) 2002 중형 수평 이동
계정 열거 정찰 2003 중형 검색
의심되는 무차별 암호 대입 공격(LDAP) 2004 중형 자격 증명 액세스
의심되는 DCSync 공격(디렉터리 서비스 복제) 2006 높은 지속성, 자격 증명 액세스
네트워크 매핑 정찰(DNS) 2007 중형 검색
의심되는 골든 티켓 사용(암호화 다운그레이드) 2009 중형 권한 상승, 횡적 이동, 지속성
의심되는 스켈레톤 키 공격(암호화 다운그레이드) 2010 중형 횡적 이동, 지속성
사용자 및 IP 주소 정찰(SMB) 2012 중형 검색
의심되는 골든 티켓 사용(위조된 권한 부여 데이터) 2013 높은 권한 상승, 횡적 이동, 지속성
Honeytoken 활동 2014 중형 자격 증명 액세스, 검색
의심되는 ID 도용(pass-the-hash) 2017 높은 측면 확대
의심되는 ID 도용(Pass-the-Ticket) 2018 높거나 보통 수평 이동
원격 코드 실행 시도 2019 중형 실행, 지속성, 권한 상승, 방어 회피, 횡적 이동
데이터 보호 API 마스터 키의 악의적인 요청 2020 높은 자격 증명 액세스
SAMR(사용자 및 그룹 멤버 자격 정찰) 2021 중형 검색
의심되는 골든 티켓 사용(시간 이상) 2022 높은 권한 상승, 횡적 이동, 지속성
의심되는 무차별 암호 대입 공격(Kerberos, NTLM) 2023 중형 자격 증명 액세스
중요한 그룹에 의심스러운 추가 2024 중형 자격 증명 액세스, 지속성
의심스러운 VPN 연결 2025 중형 지속성, 방어 회피
의심스러운 서비스 만들기 2026 중형 실행, 지속성, 권한 상승, 방어 회피, 횡적 이동
의심되는 골든 티켓 사용(존재하지 않는 계정) 2027 높은 권한 상승, 횡적 이동, 지속성
의심되는 DCShadow 공격(도메인 컨트롤러 승격) 2028 높은 방어 회피
의심되는 DCShadow 공격(도메인 컨트롤러 복제 요청) 2029 높은 방어 회피
SMB를 통한 데이터 반출 2030 높은 반출, 횡적 이동, 명령 및 제어
DNS를 통한 의심스러운 통신 2031 중형 반출
의심되는 골든 티켓 사용(티켓 변칙) 2032 높은 권한 상승, 횡적 이동, 지속성
의심되는 무차별 암호 대입 공격(SMB) 2033 중형 측면 확대
Metasploit 해킹 프레임 워크의 의심되는 사용 2034 중형 수평 이동
의심되는 WannaCry 랜섬웨어 공격 2035 중형 수평 이동
DNS를 통한 원격 코드 실행 2036 중형 권한 상승, 횡적 이동
의심스러운 NTLM 릴레이 공격 2037 서명된 NTLM v2 프로토콜을 사용하여 관찰한 경우 보통 또는 낮음 권한 상승, 횡적 이동
LDAP(보안 주체 정찰) 2038 중형 자격 증명 액세스
의심스러운 NTLM 인증 변조 2039 중형 권한 상승, 횡적 이동
의심스러운 골든 티켓 사용(PBCD를 사용하는 티켓 변칙) 2040 높음 지속성
의심스러운 악성 Kerberos 인증서 사용 2047 높은 측면 확대
Active Directory 특성 정렬(LDAP) 2210 중형 검색
의심스러운 SMB 패킷 조작(CVE-2020-0796 악용) - (미리 보기) 2406 높은 수평 이동
의심스러운 Kerberos SPN 노출(외부 ID 2410) 2410 높음 자격 증명 액세스
의심스러운 Netlogon 권한 상승 시도 (CVE-2020-1472 악용) 2411 높음 권한 상승
의심스러운 AS-REP Roasting 공격 2412 높음 자격 증명 액세스
Exchange Server 원격 코드 실행(CVE-2021-26855) 2414 높은 측면 확대
Windows 인쇄 스풀러 서비스에 대한 의심스러운 악용 시도 2415 높거나 보통 수평 이동
파일 시스템 암호화 원격 프로토콜을 통한 의심스러운 네트워크 연결 2416 높거나 보통 수평 이동
sAMNameAccount 특성의 의심스러운 수정(CVE-2021-42278 및 CVE-2021-42287 악용) 2419 높음 자격 증명 액세스

참고

모든 보안 경고를 사용하지 않도록 설정하려면 고객 지원에 문의하세요.

참고 항목