Microsoft Defender for Identity 安全警报

备注

此页面上介绍的 Microsoft Defender for Identity 功能也可通过新门户进行访问。

Microsoft Defender for Identity 安全警报说明了网络上 Defender for Identity 传感器检测到的可疑活动,以及每个威胁中涉及的参与者和计算机。 警报证据列表包含指向相关用户和计算机的直接链接,有助于简单直接地进行调查。

Defender for Identity 安全警报分为以下类别或阶段,正如典型的网络攻击杀伤链中所示的阶段。 了解有关每个阶段,旨在检测每次攻击的警报,以及如何使用警报通过以下链接来帮助保护网络的详细信息:

  1. 侦查阶段警报
  2. 凭据泄露阶段警报
  3. 横向移动阶段警报
  4. 域控制阶段警报
  5. 泄露阶段警报

若要了解有关所有 Defender for Identity 安全警报的结构和常用组件的详细信息,请参阅了解安全警报

安全警报名称映射和唯一外部 ID

下表列出了警报名称、相应的唯一外部 ID 及其 Microsoft Cloud App Security 警报 ID 之间的映射。 与脚本或自动化一起使用时,Microsoft 建议使用警报外部 ID 而不使用警报名称,因为只有安全警报外部 ID 是永久的且不会更改。

安全警报名称 唯一外部 ID 严重性 MITRE ATT&CK Matrix™
帐户枚举侦查 2003 中型 发现
Active Directory 属性侦查 (LDAP) 2210 中型 发现
通过 SMB 的数据泄露 2030 泄露、
横向移动、
命令和控制
Exchange Server 远程代码执行 (CVE-2021-26855) 2414 横向移动
蜜标活动 2014 中型 凭据访问、
发现
数据保护 API 主密钥的恶意请求 2020 凭据访问
网络映射侦查 (DNS) 2007 中型 发现
远程执行代码尝试 2019 中型 执行、
暂留、
权限提升、
防御规避、
横向移动
DNS 上的远程执行代码 2036 中型 权限提升、
横向移动
安全主体侦查 (LDAP) 2038 中型 凭据访问
可疑的 AS-REP Roasting 攻击 2412 凭据访问
可疑暴力攻击(Kerberos、NTLM) 2023 中型 凭据访问
可疑暴力攻击 (LDAP) 2004 中型 凭据访问
可疑暴力攻击 (SMB) 2033 中型 横向移动
可疑 DCShadow 攻击(域控制器提升) 2028 防御规避
可疑 DCShadow 攻击(域控制器复制请求) 2029 防御规避
可疑 DCSync 攻击(目录服务复制) 2006 暂留、
凭据访问
对 Windows 打印后台处理程序服务的可疑利用尝试 2415 高或中 横向移动
可疑黄金票证使用(加密降级) 2009 中型 权限提升、
横向移动、
持久性
可疑黄金票证使用(伪造的授权数据) 2013 权限提升、
横向移动、
持久性
可疑黄金票证使用(帐户不存在) 2027 权限提升、
横向移动、
持久性
可疑黄金票证使用(票证异常) 2032 权限提升、
横向移动、
持久性
可疑黄金票证使用(使用 RBCD 的票证异常) 2040 持久性
可疑黄金票证使用(时间异常) 2022 权限提升、
横向移动、
持久性
可疑身份盗用(哈希传递) 2017 横向移动
可疑身份盗用(票证传递) 2018 高或中 横向移动
可疑的 Kerberos SPN 公开(外部 ID 2410) 2410 凭据访问
可疑 Netlogon 特权提升尝试(CVE-2020-1472 利用) 2411 特权提升
加密文件系统远程协议上的可疑网络连接 2416 高或中 横向移动
可疑 NTLM 身份验证篡改 2039 中型 权限提升、
横向移动
可疑 NTLM 中继攻击 2037 中或低(如果使用已签名的 NTLM v2 协议进行观察) 权限提升、
横向移动
可疑哈希传递攻击 (Kerberos) 2002 中型 横向移动
可疑未授权 Kerberos 证书使用 2047 横向移动
可疑万能钥匙攻击(加密降级) 2010 中型 横向移动、
持久性
可疑的 SMB 数据包操作(CVE-2020-0796 漏洞)-(预览) 2406 横向移动
可疑的 Metasploit 黑客框架使用 2034 中型 横向移动
可疑的 WannaCry 勒索软件攻击 2035 中型 横向移动
敏感组的可疑新增内容 2024 中型 凭据访问、
持久性
通过 DNS 的可疑通信 2031 中型 泄露
可疑服务创建 2026 中型 执行、
暂留、
权限提升、
防御规避、
横向移动
可疑 VPN 连接 2025 中型 暂留、
防御规避
用户和组成员资格侦查 (SAMR) 2021 中型 发现
用户和 IP 地址侦查 (SMB) 2012 中型 发现

备注

禁用任何安全警报,请联系支持人员。

另请参阅