Microsoft Defender for Identity 中的安全警报

注意

本页中描述的体验可以作为 Microsoft Defender XDR 的一部分在 https://security.microsoft.com 中进行访问。

Microsoft Defender for Identity 安全警报说明了网络上 Defender for Identity 传感器检测到的可疑活动，以及每个威胁中涉及的行动者和计算机。 警报证据列表包含到相关用户和计算机的直接链接，以帮助使调查变得简单直接。

Defender for Identity 安全警报分为以下类别或阶段，如典型的网络攻击杀伤链中的阶段。 使用以下链接详细了解每个阶段以及专门用于检测每次攻击的警报以及如何使用警报帮助确保网络安全：

1. 侦查和发现警报
2. 暂留和特权提升警报
3. 凭据访问警报
4. 横向移动警报
5. 其他警报

如需深入了解所有 Defender for Identity 安全警报的结构和常用组件，请参阅了解安全警报。

安全警报名称映射和唯一外部 ID

下表列出了警报名称、其相应的唯一外部 ID、严重性及其 MITRE ATT&CK Matrix™ 策略之间的映射。 与脚本或自动化一起使用时，Microsoft 建议使用警报外部 ID 代替警报名称，因为只有安全警报外部 ID 为永久性 ID，不会发生更改。

外部 ID

安全警报名称	唯一外部 ID	Severity	MITRE ATT&CK Matrix™
可疑的 SID 历史记录注入	1106	高	特权提升
可疑的 overpass-the-hash 攻击 (Kerberos)	2002	中	横向移动
帐户枚举侦测	2003	中	发现
可疑的暴力攻击 (LDAP)	2004	中	凭据访问
可疑的 DCSync 攻击（目录服务复制）	2006	高	凭证访问、暂留
网络映射侦查 (DNS)	2007	中	发现
可疑的 over-pass-the-hash 攻击（强制加密类型）	2008 年	中	横向移动
可疑的黄金票证使用情况（加密降级）	2009	中	暂留、特权提升、横向移动
可疑的万能密钥攻击（加密降级）	2010	中	暂留、横向移动
用户和 IP 地址侦查 (SMB)	2012	中	发现
可疑的黄金票证使用（伪造授权数据）	2013	高	凭据访问
蜜标身份验证活动	2014	中	凭证访问、发现
可疑的身份盗用（哈希传递）	2017	高	横向移动
可疑的身份盗用 (pass-the-ticket)	2018	高或中等	横向移动
远程代码执行尝试	2019	中	执行、暂留、特权提升、防御规避、横向移动
恶意请求数据保护 API 主密钥	2020	高	凭据访问
用户和组成员身份侦查 (SAMR)	2021	中	发现
可疑的黄金票证使用情况（时间异常）	2022	高	暂留、特权提升、横向移动
可疑的暴力攻击（Kerberos、NTLM）	2023	中	凭据访问
敏感组中的可疑内容添加	2024	中	暂留、凭据访问
可疑的 VPN 连接	2025	中	防御规避、暂留
可疑的服务创建	2026	中	执行、暂留、特权提升、防御规避、横向移动
可疑的黄金票证使用情况（不存在帐户）	2027	高	暂留、特权提升、横向移动
可疑 DCShadow 攻击（域控制器升级）	2028	高	防御规避
可疑 DCShadow 攻击（域控制器复制请求）	2029	高	防御规避
通过 SMB 进行的数据外泄	2030	高	外泄、横向移动、命令和控制
通过 DNS 的可疑通信	2031	中	外泄
可疑的黄金票证使用情况（票证异常）	2032	高	暂留、特权提升、横向移动
可疑的暴力攻击 (SMB)	2033	中	横向移动
疑似使用 Metasploit 黑客攻击框架	2034	中	横向移动
可疑的 WannaCry 勒索软件攻击	2035	中	横向移动
通过 DNS 的远程代码执行	2036	中	横向移动、特权提升
可疑的 NTLM 中继攻击	2037	中等或低（如果使用已签名 NTLM v2 协议观测到）	横向移动、特权提升
安全主体侦查 (LDAP)	2038	中	凭据访问
可疑的 NTLM 身份验证篡改	2039	中	横向移动、特权提升
可疑的黄金票证使用情况（使用 RBCD 的票证异常）	2040	高	持久性
可疑的恶意 Kerberos 证书使用情况	2047	高	横向移动
使用 BronzeBit 方法的可疑 Kerberos 委派尝试（CVE-2020-17049 漏洞）	2048	中	凭据访问
Active Directory 属性侦查 (LDAP)	2210	中	发现
可疑的 SMB 数据包操纵（CVE-2020-0796 漏洞）	2406	高	横向移动
可疑的 Kerberos SPN 风险	2410	高	凭据访问
可疑的 Netlogon 特权提升尝试（CVE-2020-1472 攻击）	2411	高	特权提升
可疑的 AS-REP Roasting 攻击	2412	高	凭据访问
可疑的 AD FS DKM 密钥读取	2413	高	凭据访问
Exchange 服务器远程代码执行 (CVE-2021-26855)	2414	高	横向移动
怀疑 Windows 打印后台处理程序服务上存在攻击企图	2415	高或中等	横向移动
基于加密文件系统远程协议的可疑网络连接	2416	高或中等	横向移动
可疑的 Kerberos 票证请求	2418	高	凭据访问
对 sAMNameAccount 属性的可疑修改（CVE-2021-42278 和 CVE-2021-42287 攻击）	2419	高	凭据访问
AD FS 服务器信任关系的可疑修改	2420	中	特权提升
dNSHostName 属性的可疑修改 (CVE-2022-26923)	2421	高	特权提升
新创建的计算机的可疑 Kerberos 委派尝试	2422	高	特权提升
计算机帐户对基于资源的约束委派属性的可疑修改	2423	高	特权提升
使用可疑证书的异常 Active Directory 联合身份验证服务 (AD FS) 身份验证	2424	高	凭据访问
通过 Kerberos (PKINIT) 协议的可疑证书使用	2425	高	横向移动
使用分布式文件系统协议的可疑 DFSCoerce 攻击	2426	高	凭据访问
修改了蜜标用户属性	2427	高	持久性
更改了蜜标组成员身份	2428	高	持久性
已通过 LDAP 查询蜜标	2429	低	发现
域 AdminSdHolder 的可疑修改	2430	高	持久性
使用影子凭据的可疑帐户接管	2431	高	凭据访问
可疑的域控制器证书请求 (ESC8)	2432	高	权限提升
证书数据库条目的可疑删除	2433	中	防御规避
AD CS 审核筛选器的可疑禁用	2434	中	防御规避
对 AD CS 安全权限/设置的可疑修改	2435	中	权限提升
帐户枚举侦查 (LDAP)（预览版）	2437	中	帐户发现，域帐户
目录服务还原模式密码更改（预览版）	2438	中	持久性，帐户操作
已通过 SAM-R 查询蜜标	2,439	低	发现

注意

要禁用任何安全警报，请联系支持人员。

另请参阅

• 使用安全警报
• 了解安全警报
• 查看 Defender for Identity 论坛！