Säkerhetsaviseringar i Microsoft Defender för identitet

  • Artikel

Kommentar

Den upplevelse som beskrivs på den här sidan kan nås i https://security.microsoft.com som en del av Microsoft Defender XDR.

Säkerhetsaviseringar för Microsoft Defender för identitet förklarar misstänkta aktiviteter som identifierats av Defender för identitetssensorer i nätverket och de aktörer och datorer som är inblandade i varje hot. Listor över aviseringsbevis innehåller direkta länkar till berörda användare och datorer för att göra dina undersökningar enkla och direkta.

Säkerhetsaviseringar för Defender for Identity är indelade i följande kategorier eller faser, som faserna som visas i en typisk kedja för cyberattacker. Läs mer om varje fas, aviseringarna som är utformade för att identifiera varje attack och hur du använder aviseringarna för att skydda nätverket med hjälp av följande länkar:

  1. Aviseringar om rekognosering och identifiering
  2. Aviseringar om beständighet och behörighetseskalering
  3. Åtkomstaviseringar för autentiseringsuppgifter
  4. Aviseringar om lateral förflyttning
  5. Andra aviseringar

Mer information om strukturen och vanliga komponenter i alla Säkerhetsaviseringar för Defender för identiteter finns i Förstå säkerhetsaviseringar.

Mappning av säkerhetsaviseringsnamn och unika externa ID:t

I följande tabell visas mappningen mellan aviseringsnamn, deras motsvarande unika externa ID:n, deras allvarlighetsgrad och deras MITRE ATT&CK-matristaktik™. När det används med skript eller automatisering rekommenderar Microsoft användning av externa aviserings-ID:er i stället för aviseringsnamn, eftersom endast externa ID:er för säkerhetsaviseringar är permanenta och inte kan ändras.

Externa ID:t

Säkerhetsaviseringsnamn Unikt externt ID Allvarlighet MITRE ATT&CK-matris™
Misstänkt SID-historikinmatning 1106 Högt Privilegieeskalering
Misstänkt overpass-the-hash-attack (Kerberos) 2002 Medium Sidorörelse
Kontouppräkningsspaning 2003 Medium Identifiering
Misstänkt Brute Force-attack (LDAP) 2004 Medium Åtkomst till autentiseringsuppgifter
Misstänkt DCSync-attack (replikering av katalogtjänster) 2006 Högt Åtkomst till autentiseringsuppgifter, beständighet
Rekognosering av nätverksmappning (DNS) 2007 Medium Identifiering
Misstänkt over-pass-the-hash-attack (tvingad krypteringstyp) 2008 Medium Sidorörelse
Misstänkt golden ticket-användning (nedgradering av kryptering) 2009 Medium Beständighet, eskalering av privilegier, lateral förflyttning
Misstänkt Skeleton Key-attack (nedgradering av kryptering) 2010 Medium Beständighet, lateral förflyttning
Rekognosering av användare och IP-adresser (SMB) 2012 Medium Identifiering
Misstänkt golden ticket-användning (förfalskade auktoriseringsdata) 2013 Högt Åtkomst till autentiseringsuppgifter
Honeytoken-autentiseringsaktivitet 2014 Medium Åtkomst till autentiseringsuppgifter, Identifiering
Misstänkt identitetsstöld (pass-the-hash) 2017 Högt Sidorörelse
Misstänkt identitetsstöld (pass-the-ticket) 2018 Hög eller medelhög Sidorörelse
Körningsförsök för fjärrkod 2019 Medium Execution, Persistence, Privilege escalation, Defense evasion, Lateral movement
Skadlig begäran om huvudnyckel för Dataskydds-API 2020 Högt Åtkomst till autentiseringsuppgifter
Rekognosering av användar- och gruppmedlemskap (SAMR) 2021 Medium Identifiering
Misstänkt golden ticket-användning (tidsavvikelse) 2022 Högt Beständighet, eskalering av privilegier, lateral förflyttning
Misstänkt Brute Force-attack (Kerberos, NTLM) 2023 Medium Åtkomst till autentiseringsuppgifter
Misstänkta tillägg till känsliga grupper 2024 Medium Beständighet, åtkomst till autentiseringsuppgifter,
Misstänkt VPN-anslutning 2025 Medium Försvarsundandragande, beständighet
Misstänkt tjänstskapande 2026 Medium Execution, Persistence, Privilege Escalation, Defense evasion, Lateral movement
Misstänkt golden ticket-användning (obefintligt konto) 2027 Högt Beständighet, eskalering av privilegier, lateral förflyttning
Misstänkt DCShadow-attack (befordran av domänkontrollant) 2028 Högt Försvarsundandragande
Misstänkt DCShadow-attack (replikeringsbegäran för domänkontrollant) 2029 Högt Försvarsundandragande
Dataexfiltrering över SMB 2030 Högt Exfiltrering, lateral förflyttning, kommando och kontroll
Misstänkt kommunikation via DNS 2031 Medium Exfiltrering
Misstänkt golden ticket-användning (biljettavvikelse) 2032 Högt Beständighet, eskalering av privilegier, lateral förflyttning
Misstänkt Brute Force-attack (SMB) 2033 Medium Sidorörelse
Misstänkt användning av Metasploit-hackningsramverk 2034 Medium Sidorörelse
Misstänkt WannaCry ransomware-attack 2035 Medium Sidorörelse
Fjärrkörning av kod via DNS 2036 Medium Lateral förflyttning, eskalering av privilegier
Misstänkt NTLM-reläattack 2037 Medel eller låg om det observeras med signerat NTLM v2-protokoll Lateral förflyttning, eskalering av privilegier
Rekognosering av säkerhetsobjekt (LDAP) 2038 Medium Åtkomst till autentiseringsuppgifter
Misstänkt manipulering av NTLM-autentisering 2039 Medium Lateral förflyttning, eskalering av privilegier
Misstänkt golden ticket-användning (biljettavvikelse med RBCD) 2040 Högt Bevarande
Misstänkt oseriös Kerberos-certifikatanvändning 2047 Högt Sidorörelse
Misstänkt Kerberos-delegeringsförsök med bronzebit-metoden (CVE-2020-17049-utnyttjande) 2048 Medium Åtkomst till autentiseringsuppgifter
Rekognosering av Active Directory-attribut (LDAP) 2210 Medium Identifiering
Misstänkt SMB-paketmanipulering (CVE-2020-0796-utnyttjande) 2406 Högt Sidorörelse
Misstänkt Kerberos SPN-exponering 2410 Högt Åtkomst till autentiseringsuppgifter
Misstänkt försök att utöka Netlogon-privilegier (CVE-2020-1472-utnyttjande) 2411 Högt Privilegieeskalering
Misstänkt AS-REP Roasting-attack 2412 Högt Åtkomst till autentiseringsuppgifter
Misstänkt AD FS DKM-nyckel läses 2413 Högt Åtkomst till autentiseringsuppgifter
Fjärrkodkörning för Exchange Server (CVE-2021-26855) 2414 Högt Sidorörelse
Misstänkt utnyttjandeförsök på Windows Print Spooler-tjänsten 2415 Hög eller medelhög Sidorörelse
Misstänkt nätverksanslutning via krypterande fjärrprotokoll för filsystem 2416 Hög eller medelhög Sidorörelse
Misstänkt misstänkt Kerberos-biljettbegäran 2418 Högt Åtkomst till autentiseringsuppgifter
Misstänkt ändring av ett sAMNameAccount-attribut (CVE-2021-42278 och CVE-2021-42287-utnyttjande) 2419 Högt Åtkomst till autentiseringsuppgifter
Misstänkt ändring av förtroenderelationen för AD FS-servern 2420 Medium Privilegieeskalering
Misstänkt ändring av ett dNSHostName-attribut (CVE-2022-26923) 2421 Högt Privilegieeskalering
Misstänkt Kerberos-delegeringsförsök av en nyskapade dator 2422 Högt Privilegieeskalering
Misstänkt ändring av attributet Resursbaserad begränsad delegering av ett datorkonto 2423 Högt Privilegieeskalering
Autentisering med onormal Active Directory Federation Services (AD FS) (AD FS) med hjälp av ett misstänkt certifikat 2424 Högt Åtkomst till autentiseringsuppgifter
Misstänkt certifikatanvändning via Kerberos-protokoll (PKINIT) 2425 Högt Sidorörelse
Misstänkt DFSCoerce-attack med distribuerat filsystemprotokoll 2426 Högt Åtkomst till autentiseringsuppgifter
Honeytoken-användarattribut har ändrats 2427 Högt Bevarande
Honeytoken-gruppmedlemskap har ändrats 2428 Högt Bevarande
Honeytoken efterfrågades via LDAP 2429 Låg Identifiering
Misstänkt ändring av domänadministratörSdHolder 2430 Högt Bevarande
Misstänkt kontoövertagande med skuggautentiseringsuppgifter 2431 Högt Åtkomst till autentiseringsuppgifter
Misstänkt certifikatbegäran för domänkontrollant (ESC8) 2432 Högt Eskalering av privilegier
Misstänkt borttagning av certifikatdatabasposter 2433 Medium Försvarsundandragande
Misstänkt inaktivering av granskningsfilter för AD CS 2434 Medium Försvarsundandragande
Misstänkta ändringar av AD CS-säkerhetsbehörigheter/-inställningar 2435 Medium Eskalering av privilegier
Kontouppräkningsspaning (LDAP) (förhandsversion) 2437 Medium Kontoidentifiering, domänkonto
Lösenordsändring för återställningsläge för Katalogtjänster 2438 Medium Beständighet, kontomanipulering
Honeytoken frågades via SAM-R 2439 Låg Identifiering
Manipulering av grupprincip 2440 Medium Försvarsundandragande

Kommentar

Om du vill inaktivera säkerhetsaviseringar kontaktar du supporten.

Se även