適用於身分識別的 Microsoft Defender 中的安全性警示

注意

此頁面所述的體驗可以在 Microsoft Defender 全面偵測回應 https://security.microsoft.com 中存取。

適用於身分識別的 Microsoft Defender 安全性警示說明網路上適用於身分識別的 Defender 感測器偵測到的可疑活動,以及參與每個威脅的動作項目和計算機。 警示辨識項清單包含與相關使用者和計算機的直接連結,可協助您輕鬆且直接地進行調查。

適用於身分識別的 Defender 安全性警示分為下列類別或階段,例如典型的網路攻擊終止鏈結中所見的階段。 深入瞭解每個階段、設計來偵測每個攻擊的警示,以及如何使用警示來協助使用下列連結保護您的網路:

  1. 偵察和探索警示
  2. 持續性和許可權提升警示
  3. 認證存取警示
  4. 橫向移動警示
  5. 其他警示

若要深入瞭解所有適用於身分識別的 Defender 安全性警示的結構和常見元件,請參閱 瞭解安全性警示

安全性警示名稱對應和唯一的外部標識碼

下表列出警示名稱、其對應的唯一外部標識碼、其嚴重性,以及其 MITRE ATT&CK 矩陣™策略之間的對應。 搭配腳本或自動化使用時,Microsoft 建議使用警示外部標識碼來取代警示名稱,因為只有安全性警示外部標識符是永久性的,而且不會變更。

外部標識碼

安全性警示名稱 唯一的外部標識碼 嚴重性 MITRE ATT&CK 矩陣 ™
可疑的 SID 歷程記錄插入 1106 權限提升
可疑的 Overpass-the-hash 攻擊 (Kerberos) 2002 橫向移動
帳戶列舉偵察 2003 探索
可疑的暴力密碼破解攻擊 (LDAP) 2004 認證存取
可疑的 DCSync 攻擊 (目錄服務的複寫) 2006 認證存取、持續性
網路對應偵察 (DNS) 2007 探索
可疑的傳遞哈希攻擊 (強制加密類型) 2008 橫向移動
可疑的黃金票證使用方式 (加密降級) 2009 持續性、許可權提升、橫向移動
可疑的基本架構金鑰攻擊 (加密降級) 2010 持續性、橫向移動
使用者和 IP 位址偵察 (SMB) 2012 探索
可疑的黃金票證使用 (偽造授權數據) 2013 認證存取
Honeytoken 驗證活動 2014 認證存取、探索
可疑的身分識別竊取 (傳遞哈希) 2017 橫向移動
可疑的身分識別竊取(票證) 2018 高或中 橫向移動
遠端程式代碼執行嘗試 2019 執行、持續性、許可權提升、防禦逃避、橫向移動
數據保護 API 主要金鑰的惡意要求 2020 認證存取
使用者和群組成員資格偵察 (SAMR) 2021 探索
可疑的黃金票證使用 (時間異常) 2022 持續性、許可權提升、橫向移動
可疑的暴力密碼破解攻擊 (Kerberos, NTLM) 2023 認證存取
敏感性群組的可疑新增專案 2024 持續性、認證存取、
可疑的 VPN 連線 2025 防禦逃避,持續性
可疑的服務建立 2026 執行、持續性、許可權提升、防禦逃避、橫向移動
可疑的黃金票證使用 (不存在的帳戶) 2027 持續性、許可權提升、橫向移動
可疑的DCShadow攻擊 (域控制器升級) 2028 防禦規避
可疑的DCShadow攻擊 (域控制器複寫要求) 2029 防禦規避
透過SMB的數據外流 2030 外洩、橫向移動、命令和控制
透過 DNS 的可疑通訊 2031 外流
可疑的黃金票證使用 (票證異常) 2032 持續性、許可權提升、橫向移動
可疑的暴力密碼破解攻擊 (SMB) 2033 橫向移動
可疑使用 Metasploit 駭客架構 2034 橫向移動
可疑的 WannaCry 勒索軟體攻擊 2035 橫向移動
透過 DNS 執行遠端程式代碼 2036 橫向移動、許可權提升
可疑的NTLM轉送攻擊 2037 如果使用已簽署的NTLM v2通訊協議觀察到,則為中或低 橫向移動、許可權提升
安全性主體偵察 (LDAP) 2038 認證存取
可疑的NTLM驗證竄改 2039 橫向移動、許可權提升
可疑的黃金票證使用 (使用 RBCD 的票證異常) 2040 持續性
可疑的 Rogue Kerberos 憑證使用方式 2047 橫向移動
可疑的 Kerberos 委派嘗試使用 BronzeBit 方法 (CVE-2020-17049 惡意探索) 2048 認證存取
Active Directory 屬性偵察 (LDAP) 2210 探索
可疑的 SMB 封包操作 (CVE-2020-0796 惡意探索) 2406 橫向移動
可疑的 Kerberos SPN 曝光 2410 認證存取
可疑的 Netlogon 許可權提升嘗試 (CVE-2020-1472 惡意探索) 2411 權限提升
可疑的 AS-REP 烤攻擊 2412 認證存取
可疑的AD FS DKM 金鑰讀取 2413 認證存取
Exchange Server 遠端程式代碼執行 (CVE-2021-26855) 2414 橫向移動
Windows Print Spooler 服務的可疑惡意探索嘗試 2415 高或中 橫向移動
透過加密檔案系統遠端通訊協定的可疑網路連線 2416 高或中 橫向移動
可疑的可疑 Kerberos 票證要求 2418 認證存取
可疑修改 sAMNameAccount 属性 (CVE-2021-42278 和 CVE-2021-42287 惡意探索) 2419 認證存取
可疑修改AD FS 伺服器的信任關係 2420 權限提升
可疑修改 dNSHostName 属性 (CVE-2022-26923) 2421 權限提升
新建立計算機的可疑 Kerberos 委派嘗試 2422 權限提升
機器帳戶對資源型限制委派屬性的可疑修改 2423 權限提升
使用可疑憑證進行異常 Active Directory 同盟服務 (AD FS) 驗證 2424 認證存取
透過 Kerberos 通訊協定的可疑憑證使用量 (PKINIT) 2425 橫向移動
使用分散式文件系統通訊協定的可疑 DFSCoerce 攻擊 2426 認證存取
已修改 Honeytoken 用戶屬性 2427 持續性
Honeytoken 群組成員資格已變更 2428 持續性
Honeytoken 已透過LDAP查詢 2429 探索
網域 管理員 SdHolder 的可疑修改 2430 持續性
使用陰影認證進行可疑的帳戶接管 2431 認證存取
可疑域控制器憑證要求 (ESC8) 2432 權限提升
可疑的憑證資料庫項目刪除 2433 防禦規避
可疑停用 AD CS 的稽核篩選 2434 防禦規避
AD CS 安全性許可權/設定的可疑修改 2435 權限提升
帳戶列舉偵察 (LDAP) (預覽) 2437 帳戶探索、網域帳戶
目錄服務還原模式密碼變更 (預覽) 2438 持續性、帳戶操作
Honeytoken 透過 SAM-R 查詢 2439 探索

注意

若要停用任何安全性警示,請連絡支持人員。

另請參閱