Alertas de segurança no Microsoft Defender para Identidade

Observação

A experiência descrita nesta página pode ser acessada em https://security.microsoft.com como parte do Microsoft Defender XDR.

Os alertas de segurança do Microsoft Defender para Identidade explicam as atividades suspeitas detectadas pelos sensores do Defender para Identidade na rede e os atores e computadores envolvidos em cada ameaça. As listas de evidências de alerta contêm links diretos para os usuários e computadores envolvidos, para ajudar a tornar suas investigações fáceis e diretas.

Os alertas de segurança do Defender para Identidade são divididos nas categorias ou fases a seguir, como as fases observadas em uma típica kill chain de ataques cibernéticos. Saiba mais sobre cada fase, os alertas projetados para detectar cada ataque e como usar os alertas para ajudar a proteger sua rede usando os seguintes links:

  1. Alertas de reconhecimento e descoberta
  2. Alertas de elevação de privilégio e persistência
  3. Alertas de acesso a credenciais
  4. Alertas de movimentação lateral
  5. Outros alertas

Para saber mais sobre a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, confira Noções básicas sobre alertas de segurança.

Mapeamento de nomes de alertas de segurança e IDs externos exclusivos

A tabela a seguir lista o mapeamento entre nomes de alerta, seus IDs externos exclusivos correspondentes, a gravidade e a tática MITRE ATT&CK Matrix™. Quando usados com scripts ou automação, a Microsoft recomenda o uso de IDs externos de alertas no lugar dos nomes de alertas, porque apenas os IDs externos dos alertas de segurança são permanentes e não estão sujeitos a alterações.

IDs externos

Nome do alerta de segurança ID externo exclusivo Severidade MITRE ATT&CK Matrix™
Suspeita de injeção de SID-History 1106 Alto Elevação de privilégio
Suspeita de ataque overpass-the-hash (Kerberos) 2002 Médio Movimento lateral
Reconhecimento de enumeração de conta 2003 Médio Descoberta
Suspeita de ataque de força bruta (LDAP) 2004 Médio Acesso de credenciais
Suspeita de ataque DCSync (replicação de serviços de diretório) 2006 Alto Acesso a credenciais, Persistência
Reconhecimento de mapeamento de rede (DNS) 2007 Médio Descoberta
Suspeita de ataque Pass-the-Hash (tipo de criptografia forçada) 2008 Médio Movimento lateral
Suspeita de uso de Golden Ticket (downgrade de criptografia) 2009 Médio Persistência, Elevação de privilégio, Movimentação lateral
Suspeita de ataque Skeleton Key (downgrade de criptografia) 2010 Médio Persistência, Movimentação lateral
Reconhecimento de usuário e endereço IP (SMB) 2012 Médio Descoberta
Suspeita de uso de Golden Ticket (dados de autorização falsificados) 2013 Alto Acesso de credenciais
Atividade de autenticação do Honeytoken 2014 Médio Acesso a credenciais, Descoberta
Suspeita de roubo de identidade (Pass-the-Hash) 2017 Alto Movimento lateral
Suspeita de roubo de identidade (Pass-the-Ticket) 2018 Alta ou Média Movimento lateral
Tentativa de execução remota de código 2019 Médio Execução, Persistência, Elevação de privilégio, Evasão de defesa, Movimentação lateral
Solicitação maliciosa de chave mestra da API de Proteção de Dados 2020 Alto Acesso de credenciais
Reconhecimento de usuário e de associação de grupo (SAMR) 2021 Médio Descoberta
Suspeita de uso de Golden Ticket (anomalia de horário) 2022 Alto Persistência, Elevação de privilégio, Movimentação lateral
Suspeita de ataque de força bruta (Kerberos, NTLM) 2023 Médio Acesso de credenciais
Adições suspeitas a grupos confidenciais 2024 Médio Persistência, Acesso a credenciais
Conexão VPN suspeita 2025 Médio Evasão de defesa, Persistência
Criação de serviço suspeito 2026 Médio Execução, Persistência, Elevação de privilégio, Evasão de defesa, Movimentação lateral
Suspeita de uso de Golden Ticket (conta inexistente) 2027 Alto Persistência, Elevação de privilégio, Movimentação lateral
Suspeita de ataque DCShadow (promoção do controlador de domínio) 2028 Alto Evasão de defesa
Suspeita de ataque DCShadow (solicitação de replicação do controlador de domínio) 2029 Alto Evasão de defesa
Exfiltração de dados por SMB 2030 Alto Exfiltração, Movimentação lateral, Comando e controle
Comunicação suspeita por DNS 2031 Médio Exfiltração
Suspeita de uso de Golden Ticket (anomalia de tíquete) 2032 Alto Persistência, Elevação de privilégio, Movimentação lateral
Suspeita de ataque de força bruta (SMB) 2033 Médio Movimento lateral
Suspeita de uso de estrutura de hacking Metasploit 2034 Médio Movimento lateral
Suspeita de ataque de ransomware WannaCry 2035 Médio Movimento lateral
Execução remota de código por DNS 2036 Médio Movimentação lateral, Elevação de privilégio
Suspeita de ataque de retransmissão NTLM 2.037 Média ou Baixa se observada usando o protocolo NTLM v2 assinado Movimentação lateral, Elevação de privilégio
Reconhecimento de entidade de segurança (LDAP) 2038 Médio Acesso de credenciais
Suspeita de adulteração de autenticação NTLM 2039 Médio Movimentação lateral, Elevação de privilégio
Suspeita de uso de Golden Ticket (anomalia de tíquete usando RBCD) 2040 Alto Persistência
Suspeita de uso de certificado Kerberos fraudulento 2047 Alto Movimento lateral
Tentativa suspeita de delegação do Kerberos usando o método BronzeBit (exploração da atualização CVE-2020-17049) 2.048 Médio Acesso de credenciais
Reconhecimento de atributos do Active Directory (LDAP) 2210 Médio Descoberta
Suspeita de manipulação de pacotes SMB (exploração CVE-2020-0796) 2406 Alto Movimento lateral
Suspeita de exposição ao SPN Kerberos 2410 Alto Acesso de credenciais
Suspeita de tentativa de elevação de privilégio Netlogon (exploração CVE-2020-1472) 2411 Alto Elevação de privilégio
Suspeita de ataque AS-REP Roasting 2.412 Alto Acesso de credenciais
Leitura suspeita da chave DKM do AD FS 2413 Alto Acesso de credenciais
Execução remota de código do servidor Exchange (CVE-2021-26855) 2414 Alto Movimento lateral
Suspeita de tentativa de exploração no serviço de spooler de Impressão do Windows 2415 Alta ou Média Movimento lateral
Conexão de rede suspeita pelo protocolo remoto do Encrypting File System 2416 Alta ou Média Movimento lateral
Suspeita de solicitação de tíquete Kerberos suspeita 2418 Alto Acesso de credenciais
Modificação suspeita de um atributo sAMNameAccount (exploração CVE-2021-42278 e CVE-2021-42287) 2419 Alto Acesso de credenciais
Modificação suspeita da relação de confiança do servidor AD FS 2420 Médio Elevação de privilégio
Modificação suspeita de um atributo dNSHostName (CVE-2022-26923) 2421 Alto Elevação de privilégio
Tentativa suspeita de delegação Kerberos por um computador recém-criado 2422 Alto Elevação de privilégio
Modificação suspeita do atributo Delegação Restrita Baseada em recursos por uma conta de computador 2423 Alto Elevação de privilégio
Autenticação anormal dos Serviços de Federação do Active Directory (AD FS) usando um certificado suspeito 2424 Alto Acesso de credenciais
Uso suspeito de certificado sobre o protocolo Kerberos (PKINIT) 2425 Alto Movimento lateral
Suspeita de ataque DFSCoerce usando o Protocolo de Sistema de Arquivos Distribuído 2426 Alto Acesso de credenciais
Atributos do usuário Honeytoken modificados 2427 Alto Persistência
A associação ao grupo Honeytoken foi alterada 2428 Alto Persistência
O Honeytoken foi consultado por meio do LDAP 2429 Baixo Descoberta
Modificação suspeita do domínio AdminSdHolder 2430 Alto Persistência
Suspeita de aquisição de conta usando credenciais ocultas 2431 Alto Acesso de credenciais
Solicitação de certificado de controlador de domínio suspeito (ESC8) 2432 Alto Elevação de privilégio
Exclusão suspeita das entradas do banco de dados de certificados 2433 Médio Evasão de defesa
Desativação suspeita de filtros de auditoria do AD CS 2434 Médio Evasão de defesa
Modificações suspeitas nas permissões/configurações de segurança do AD CS 2435 Médio Elevação de privilégio
Reconhecimento de enumeração de conta (LDAP) (Versão preliminar) 2437 Médio Descoberta de Conta, Conta de Domínio
Alteração de senha do modo de restauração dos Serviços de Diretório (Versão preliminar) 2438 Médio Persistência, Manipulação de Conta
O Honeytoken foi consultado por meio do SAM-R 2.439 Baixo Descoberta

Observação

Para desabilitar um alerta de segurança, contate o suporte.

Confira também