Micro soft Defender voor identiteits beveiligings waarschuwingenMicrosoft Defender for Identity Security Alerts

  • 4 minuten om te lezen

Notitie

De Micro soft Defender voor identiteitMicrosoft Defender for Identity functies die op deze pagina worden beschreven, zijn ook toegankelijk via de nieuwe Portal.The Micro soft Defender voor identiteitMicrosoft Defender for Identity features explained on this page are also accessible using the new portal.

Micro soft Defender voor identiteitMicrosoft Defender for Identity in beveiligings waarschuwingen worden de verdachte activiteiten beschreven die worden gedetecteerd door Defender voor identiteitDefender for Identity Sens oren in uw netwerk, en de actors en computers die bij elke dreiging betrokken zijn.Micro soft Defender voor identiteitMicrosoft Defender for Identity security alerts explain the suspicious activities detected by Defender voor identiteitDefender for Identity sensors on your network, and the actors and computers involved in each threat. Lijsten met waarschuwings bewijzen bevatten directe koppelingen naar de betrokken gebruikers en computers, om u te helpen uw onderzoek eenvoudig en direct uit te voeren.Alert evidence lists contain direct links to the involved users and computers, to help make your investigations easy and direct.

Defender voor identiteitDefender for Identity beveiligings waarschuwingen worden onderverdeeld in de volgende categorieën of fasen, zoals de fasen die worden weer gegeven in een typische keten voor het afbreken van een cyber aanval.Defender voor identiteitDefender for Identity security alerts are divided into the following categories or phases, like the phases seen in a typical cyber-attack kill chain. Meer informatie over elke fase, de waarschuwingen die zijn ontworpen voor het detecteren van elke aanval en hoe u de waarschuwingen gebruikt om uw netwerk te beveiligen met behulp van de volgende koppelingen:Learn more about each phase, the alerts designed to detect each attack, and how to use the alerts to help protect your network using the following links:

  1. Waarschuwingen voor Reconnaissance-faseReconnaissance phase alerts
  2. Waarschuwingen over versleutelde referentie faseCompromised credential phase alerts
  3. Waarschuwingen voor zijdelings verplaatsen faseLateral movement phase alerts
  4. Waarschuwingen voor domein dominantie faseDomain dominance phase alerts
  5. Waarschuwingen voor exfiltration-faseExfiltration phase alerts

Zie beveiligings waarschuwingen voor meer informatie over de structuur en algemene onderdelen van alle Defender voor identiteitDefender for Identity beveiligings waarschuwingen.To learn more about the structure and common components of all Defender voor identiteitDefender for Identity security alerts, see Understanding security alerts.

Naam toewijzing van beveiligings waarschuwingen en unieke externe Id'sSecurity alert name mapping and unique external IDs

De volgende tabel bevat de toewijzing tussen waarschuwings namen, de bijbehorende unieke externe Id's en hun Microsoft Cloud App Security waarschuwings-Id's.The following table lists the mapping between alert names, their corresponding unique external IDs, and their Microsoft Cloud App Security alert IDs. Bij gebruik in combi natie met scripts of automatisering raadt micro soft aan om externe Id's voor waarschuwingen te gebruiken in plaats van waarschuwings namen, omdat alleen externe Id's van beveiligings waarschuwingen permanent zijn en niet kunnen worden gewijzigd.When used with scripts or automation, Microsoft recommends use of alert external IDs in place of alert names, as only security alert external IDs are permanent, and not subject to change.

Naam van beveiligings waarschuwingSecurity alert name Unieke externe IDUnique external ID SeveritySeverity MITRE ATT&verzonken matrix™MITRE ATT&CK Matrix™
Reconnaissance voor account inventarisatieAccount enumeration reconnaissance 20032003 NormaalMedium DetectieDiscovery
Active Directory Attributes Reconnaissance (LDAP)Active Directory attributes reconnaissance (LDAP) 22102210 NormaalMedium DetectieDiscovery
Data exfiltration via SMBData exfiltration over SMB 20302030 HoogHigh ExfiltrationExfiltration,
Zijdelingse verplaatsing,Lateral movement,
Opdracht en controleCommand and control
Honeytoken-activiteitHoneytoken activity 20142014 NormaalMedium Referentie toegang,Credential access,
DetectieDiscovery
Kwaad aardige aanvraag van de Data Protection API-hoofd sleutelMalicious request of Data Protection API master key 20202020 HoogHigh Referenties toegangCredential access
Netwerk toewijzing Reconnaissance (DNS)Network mapping reconnaissance (DNS) 20072007 NormaalMedium DetectieDiscovery
Poging tot uitvoering op afstand van codeRemote code execution attempt 20192019 NormaalMedium UitvoeringExecution,
BehoudenPersistence,
Escalatie van bevoegdheden,Privilege escalation,
Verdedigings fraude,Defense evasion,
Zijwaartse bewegingLateral movement
Externe uitvoering van code via DNSRemote code execution over DNS 20362036 NormaalMedium Escalatie van bevoegdheden,Privilege escalation,
Zijwaartse bewegingLateral movement
Beveiligingsprincipal Reconnaissance (LDAP)Security principal reconnaissance (LDAP) 20382038 NormaalMedium Referenties toegangCredential access
Verdachte beveiligings aanval (Kerberos, NTLM)Suspected Brute Force attack (Kerberos, NTLM) 20232023 NormaalMedium Referenties toegangCredential access
Verdachte beveiligings aanval (LDAP)Suspected Brute Force attack (LDAP) 20042004 NormaalMedium Referenties toegangCredential access
Verdachte Brute Force-aanval (SMB)Suspected Brute Force attack (SMB) 20332033 NormaalMedium Zijwaartse bewegingLateral movement
Verdachte DCShadow-aanval (domein controller promotie)Suspected DCShadow attack (domain controller promotion) 20282028 HoogHigh Verdedigings fraudeDefense evasion
Verdachte DCShadow-aanval (replicatie aanvraag van domein controller)Suspected DCShadow attack (domain controller replication request) 20292029 HoogHigh Verdedigings fraudeDefense evasion
Verdachte DCSync-aanval (replicatie van Directory Services)Suspected DCSync attack (replication of directory services) 20062006 HoogHigh BehoudenPersistence,
Referenties toegangCredential access
Verdacht gebruik van het gouden ticket (versleuteling downgrade)Suspected Golden Ticket usage (encryption downgrade) 20092009 NormaalMedium Escalatie van bevoegdheden,Privilege Escalation,
Zijdelingse verplaatsing,Lateral movement,
PersistentiePersistence
Verdacht gebruik van Golden-tickets (vervalste autorisatie gegevens)Suspected Golden Ticket usage (forged authorization data) 20132013 HoogHigh Escalatie van bevoegdheden,Privilege escalation,
Zijdelingse verplaatsing,Lateral movement,
PersistentiePersistence
Verdacht gebruik van het gouden ticket (niet-bestaand account)Suspected Golden Ticket usage (nonexistent account) 20272027 HoogHigh Escalatie van bevoegdheden,Privilege Escalation,
Zijdelingse verplaatsing,Lateral movement,
PersistentiePersistence
Verdacht gebruik van het gouden ticket (ticket anomalie)Suspected Golden Ticket usage (ticket anomaly) 20322032 HoogHigh Escalatie van bevoegdheden,Privilege Escalation,
Zijdelingse verplaatsing,Lateral movement,
PersistentiePersistence
Verdacht gebruik van het gouden ticket (ticket anomalie met RBCD)Suspected Golden Ticket usage (ticket anomaly using RBCD) 20402040 HoogHigh PersistentiePersistence
Verdacht gebruik van het gouden ticket (tijd afwijkingen)Suspected Golden Ticket usage (time anomaly) 20222022 HoogHigh Escalatie van bevoegdheden,Privilege Escalation,
Zijdelingse verplaatsing,Lateral movement,
PersistentiePersistence
Verdachte identiteits diefstal (Pass-the-hash)Suspected identity theft (pass-the-hash) 20172017 HoogHigh Zijwaartse bewegingLateral movement
Verdachte identiteits diefstal (Pass-the-ticket)Suspected identity theft (pass-the-ticket) 20182018 Hoog of gemiddeldHigh or Medium Zijwaartse bewegingLateral movement
Verdachte blootstelling van Kerberos-SPN (externe ID 2410)Suspected Kerberos SPN exposure (external ID 2410) 24102410 HoogHigh Referenties toegangCredential access
Poging tot misbruik van bevoegdheden voor onbevoegde Netlogon (CVE-2020-1472-exploitatie)Suspected Netlogon privilege elevation attempt (CVE-2020-1472 exploitation) 24112411 HoogHigh Escalatie van bevoegdhedenPrivilege Escalation
Vermoeden dat NTLM-verificatie wordt geknoeidSuspected NTLM authentication tampering 20392039 NormaalMedium Escalatie van bevoegdheden,Privilege escalation,
Zijwaartse bewegingLateral movement
Verdachte NTLM-relay-aanvalSuspected NTLM relay attack 20372037 Gemiddeld of laag indien waargenomen met ondertekend NTLM v2-protocolMedium or Low if observed using signed NTLM v2 protocol Escalatie van bevoegdheden,Privilege escalation,
Zijwaartse bewegingLateral movement
Verdachte Overpass-the-hash-aanval (Kerberos)Suspected overpass-the-hash attack (Kerberos) 20022002 NormaalMedium Zijwaartse bewegingLateral movement
Verdacht gebruik van Rogue Kerberos-certificaatSuspected rogue Kerberos certificate usage 20472047 HoogHigh Zijwaartse bewegingLateral movement
Verdachte skelet sleutel aanval (versleutelings downgrade)Suspected Skeleton Key attack (encryption downgrade) 20102010 NormaalMedium Zijdelingse verplaatsing,Lateral movement,
PersistentiePersistence
Verdacht SMB-pakket manipulatie (CVE-2020-0796-licentie)-(preview)Suspected SMB packet manipulation (CVE-2020-0796 exploitation) - (preview) 24062406 HoogHigh Zijwaartse bewegingLateral movement
Verdacht gebruik van het metasploit-Hacking-FrameworkSuspected use of Metasploit hacking framework 20342034 NormaalMedium Zijwaartse bewegingLateral movement
Vermoede WannaCry Ransomware-aanvalSuspected WannaCry ransomware attack 20352035 NormaalMedium Zijwaartse bewegingLateral movement
Verdachte toevoegingen aan gevoelige groepenSuspicious additions to sensitive groups 20242024 NormaalMedium Referentie toegang,Credential access,
PersistentiePersistence
Verdachte communicatie via DNSSuspicious communication over DNS 20312031 NormaalMedium ExfiltrationExfiltration
Verdachte service makenSuspicious service creation 20262026 NormaalMedium UitvoeringExecution,
BehoudenPersistence,
Escalatie van bevoegdheden,Privilege Escalation,
Verdedigings fraude,Defense evasion,
Zijwaartse bewegingLateral movement
Verdachte VPN-verbindingSuspicious VPN connection 20252025 NormaalMedium BehoudenPersistence,
Verdedigings fraudeDefense evasion
Gebruikers-en groepslid maatschappen Reconnaissance (SAMR)User and Group membership reconnaissance (SAMR) 20212021 NormaalMedium DetectieDiscovery
Gebruikers-en IP-adres Reconnaissance (SMB)User and IP address reconnaissance (SMB) 20122012 NormaalMedium DetectieDiscovery

Notitie

Neem contact op met de ondersteuning om een beveiligings waarschuwing uit te scha kelen.To disable any security alert, contact support.

Zie ookSee Also