Alertes de sécurité dans Microsoft Defender pour Identity

Remarque

L’expérience décrite dans cette page est accessible à l’adresse https://security.microsoft.com dans le cadre de Microsoft Defender XDR.

Les alertes de sécurité Microsoft Defender pour Identity expliquent les activités suspectes détectées par les capteurs Defender pour Identity sur votre réseau, ainsi que les acteurs et les ordinateurs impliqués dans chaque menace. Les listes de preuves d’alerte contiennent des liens directs vers les utilisateurs et les ordinateurs impliqués, afin de faciliter et de diriger vos enquêtes.

Les alertes de sécurité Defender pour Identity sont réparties dans les catégories ou phases suivantes, à l’instar des phases d’une chaîne de destruction de cyber-attaque typique. Pour en savoir plus sur chaque phase, sur les alertes conçues pour détecter chaque attaque et sur la manière d’utiliser les alertes pour protéger votre réseau, cliquez sur les liens suivants :

  1. Alertes de reconnaissance et de découverte
  2. Alertes de persistance et d’élévation des privilèges
  3. Alertes d’accès aux identifiants
  4. Alertes de mouvement latéral
  5. Autres alertes

Pour en savoir plus sur la structure et les composants courants de toutes les alertes de sécurité de Defender pour Identity, consultez Présentation des alertes de sécurité.

Mappage des noms d’alerte de sécurité et ID externes uniques

Le tableau suivant répertorie le mappage entre les noms d’alerte, leurs ID externes uniques correspondants, leur gravité et leur tactique de matrice MITRE ATT&CK™. Lorsqu’il est utilisé avec des scripts ou une automatisation, Microsoft recommande d’utiliser des ID externes d’alerte à la place des noms d’alerte, car seuls les ID externes d’alerte de sécurité sont permanents et ne sont pas soumis à modification.

ID externes

Nom d’alerte de sécurité. ID externe unique Niveau de gravité Matrice MITRE ATT&CK™
Injection de SID-History soupçonnée 1106 Forte Élévation des privilèges
Suspicion d’attaque overpass-the-hash (Kerberos) 2002 Moyenne Mouvement latéral
Reconnaissance d’énumération de compte 2003 Moyenne Découverte
Suspicion d’attaque par force brute (LDAP) 2004 Moyenne Accès aux informations d’identification
Suspicion d’attaque DCSync (réplication des services d’annuaire) 2006 Forte Accès aux informations d’identification, persistance
Reconnaissance de mappage réseau (DNS) 2007 Moyenne Découverte
Suspicion d’attaque de over-pass-the-hash (type de chiffrement forcé) 2008 Moyenne Mouvement latéral
Suspicion d’utilisation de Golden Ticket (rétrogradation du chiffrement) 2009 Moyenne Persistance, élévation des privilèges, mouvement latéral
Suspicion d’attaque skeleton key (rétrogradation du chiffrement) 2010 Moyenne Persistance, mouvement latéral
Reconnaissance des adresses IP et des utilisateurs (SMB) 2012 Moyenne Découverte
Suspicion d’utilisation de golden Ticket (données d’autorisation falsifiées) 2013 Forte Accès aux informations d’identification
Activité d’authentification Honeytoken 2014 Moyenne Accès aux informations d’identification, découverte
Suspicion d’usurpation d’identité (pass-the-hash) 2017 Forte Mouvement latéral
Suspicion d’usurpation d’identité (pass-the-ticket) 2018 Moyen ou élevé Mouvement latéral
Tentative d’exécution de code à distance 2019 Moyenne Exécution, persistance, élévation des privilèges, contournement de la défense, mouvement latéral
Demande malveillante de la clé principale de l’API de protection des données (DPAPI) 2020 Forte Accès aux informations d’identification
Reconnaissance des appartenances utilisateur et à un groupe (SAMR) 2021 Moyenne Découverte
Suspicion d’utilisation de golden Ticket (anomalie temporelle) 2022 Forte Persistance, élévation des privilèges, mouvement latéral
Suspicion d’attaque par force brute (Kerberos, NTLM) 2023 Moyenne Accès aux informations d’identification
Ajouts suspects aux groupes sensibles 2024 Moyenne Persistance, accès aux informations d’identification
Connexion VPN suspecte 2025 Moyenne Persistance, contournement de la défense
Création d’un service suspect 2026 Moyenne Exécution, persistance, élévation des privilèges, contournement de la défense, mouvement latéral
Suspicion d’utilisation de golden ticket (compte inexistant) 2027 Forte Persistance, élévation des privilèges, mouvement latéral
Suspicion d’attaque DCShadow (promotion du contrôleur de domaine) 2028 Forte Évasion de défense
Suspicion d’attaque DCShadow (demande de réplication du contrôleur de domaine) 2029 Forte Évasion de défense
Exfiltration de données sur SMB 2030 Forte Exfiltration, mouvement latéral, commande et contrôle
Communication suspecte sur DNS 2031 Moyenne Exfiltration
Suspicion d’utilisation de golden Ticket (anomalie de ticket) 2032 Forte Persistance, élévation des privilèges, mouvement latéral
Suspicion d’attaque par force brute (SMB) 2033 Moyenne Mouvement latéral
Suspicion d’utilisation du cadre de piratage Metasploit 2034 Moyenne Mouvement latéral
Suspicion d’attaque par rançongiciel WannaCry 2035 Moyenne Mouvement latéral
Exécution de code distant sur DNS 2036 Moyenne Mouvement latéral, élévation des privilèges
Suspicion d’attaque de relais NTLM 2037 Moyenne ou faible si elle est observée à l’aide du protocole NTLM v2 signé Mouvement latéral, élévation des privilèges
Reconnaissance de principal de sécurité (LDAP) 2038 Moyenne Accès aux informations d’identification
Suspicion de falsification d’authentification NTLM 2039 Moyenne Mouvement latéral, élévation des privilèges
Suspicion d’utilisation de golden Ticket (anomalie de ticket utilisant RBCD) 2040 Forte Persistance
Suspicion d’utilisation de certificats Kerberos non autorisés 2047 Forte Mouvement latéral
Tentative de délégation Kerberos suspecte à l’aide de la méthode BronzeBit (exploitation CVE-2020-17049) 2 048 Moyenne Accès aux informations d’identification
Reconnaissance des attributs Active Directory (LDAP) 2210 Moyenne Découverte
Suspicion de manipulation de paquets S Mo (exploitation CVE-2020-0796) 2406 Forte Mouvement latéral
Suspicion d’exposition du SPN Kerberos 2410 Forte Accès aux informations d’identification
Suspicion de tentative d’élévation de privilèges Netlogon (exploitation CVE-2020-1472) 2411 Forte Élévation des privilèges
Suspicion d’attaque AS-REP Roasting 2412 Forte Accès aux informations d’identification
Suspicion de lecture de clé DKM AD FS 2413 Forte Accès aux informations d’identification
Exécution de code à distance du serveur Exchange (CVE-2021-26855) 2 414 Forte Mouvement latéral
Suspicion de tentative d’exploitation sur le service Spouleur d’impression Windows 2415 Moyen ou élevé Mouvement latéral
Connexion réseau suspecte via le protocole distant du système de fichiers EFS 2416 Moyen ou élevé Mouvement latéral
Suspicion de demande de ticket Kerberos suspecte 2418 Forte Accès aux informations d’identification
Suspicion de modification d’un attribut sAMNameAccount (exploitation CVE-2021-42278 et CVE-2021-42287) 2419 Forte Accès aux informations d’identification
Modification suspecte de la relation d’approbation du serveur AD FS 2420 Moyenne Élévation des privilèges
Modification suspecte d’un attribut dNSHostName (CVE-2022-26923) 2421 Forte Élévation des privilèges
Tentative de délégation Kerberos suspecte par un ordinateur nouvellement créé 2422 Forte Élévation des privilèges
Modification suspecte de l’attribut de délégation contrainte basée sur les ressources par un compte d’ordinateur 2423 Forte Élévation des privilèges
Authentification services de fédération Active Directory (AD FS) anormale (AD FS) à l’aide d’un certificat suspect 2424 Forte Accès aux informations d’identification
Utilisation suspecte du certificat sur le protocole Kerberos (PKINIT) 2425 Forte Mouvement latéral
Suspicion d’attaque DFSCoerce à l’aide du protocole de système de fichiers distribué 2426 Forte Accès aux informations d’identification
Attributs utilisateur Honeytoken modifiés 2427 Forte Persistance
Modification de l’appartenance au groupe Honeytoken 2428 Forte Persistance
Honeytoken a été interrogé via LDAP 2429 Faible Découverte
Modification suspecte du domaine Administration SdHolder 2430 Forte Persistance
Prise en charge du compte soupçonnée à l’aide d’informations d’identification d’ombre 2431 Forte Accès aux informations d’identification
Demande de certificat de contrôleur de domaine suspecte (ESC8) 2432 Forte Élévation des privilèges
Suppression suspecte des entrées de base de données de certificat 2433 Moyenne Évasion de défense
Désactivation suspecte des filtres d’audit d’AD CS 2434 Moyenne Évasion de défense
Modifications suspectes des autorisations/paramètres de sécurité AD CS 2435 Moyenne Élévation des privilèges
Reconnaissance de l’énumération de compte (LDAP) (préversion) 2437 Moyenne Découverte de compte, compte de domaine
Modification du mot de passe en mode restauration des services d’annuaire (préversion) 2438 Moyenne Persistance, manipulation de compte
Honeytoken a été interrogé via SAM-R 2 439 Faible Découverte

Remarque

Pour désactiver l’alerte de sécurité, contactez le support technique.

Voir aussi