Оповещения системы безопасности в Microsoft Defender для удостоверений

Примечание.

Доступ к интерфейсу, описанному на этой странице, можно получить в https://security.microsoft.com рамках XDR в Microsoft Defender.

Microsoft Defender для удостоверений оповещения системы безопасности объясняют подозрительные действия, обнаруженные датчиками Defender для удостоверений в сети, а также субъекты и компьютеры, участвующие в каждой угрозе. Списки доказательств оповещений содержат прямые ссылки на участвующих пользователей и компьютеров, чтобы упростить и прямое расследование.

Оповещения системы безопасности удостоверений Defender для удостоверений делятся на следующие категории или этапы, как и этапы, описанные в типичной цепочке убийств кибер-атак. Узнайте больше о каждом этапе, оповещениях, предназначенных для обнаружения каждой атаки, а также о том, как использовать оповещения для защиты сети с помощью следующих ссылок:

  1. Оповещения о разведке и обнаружении
  2. Оповещения о сохраняемости и эскалации привилегий
  3. Оповещения о доступе к учетным данным
  4. Оповещения бокового перемещения
  5. Другие оповещения

Дополнительные сведения о структуре и общих компонентах всех оповещений Defender для системы безопасности удостоверений см. в разделе "Общие сведения о оповещениях системы безопасности".

Сопоставление имен оповещений системы безопасности и уникальные внешние идентификаторы

В следующей таблице перечислены сопоставления имен оповещений, соответствующие уникальные внешние идентификаторы, их серьезность и тактика матрицы™ MITRE ATT&CK. При использовании с скриптами или автоматизацией корпорация Майкрософт рекомендует использовать внешние идентификаторы оповещений вместо имен оповещений, так как только внешние идентификаторы оповещений системы безопасности являются постоянными и не подлежат изменению.

Внешние идентификаторы

Имя оповещения системы безопасности Уникальный внешний идентификатор Важность Матрица™ MITRE ATT&CK
Предполагаемое внедрение SID-History 1106 Высокая Повышение привилегий
Подозреваемая атака overpass-the-hash (Kerberos) 2002 Средняя Перемещение внутри периметра
Разведывательная разведка перечисления учетных записей 2003 Средняя Обнаружение
Подозреваемая атака подбора (LDAP) 2004 Средняя Доступ к учетным данным
Подозреваемая атака DCSync (реплика tion служб каталогов) 2006 Высокая Доступ к учетным данным, сохраняемость
Рекогносцировка сетевого сопоставления (DNS) 2007 Средняя Обнаружение
Подозреваемая атака over-pass-the-hash (принудительный тип шифрования) 2008 Средняя Перемещение внутри периметра
Предполагаемое использование Golden Ticket (понижение уровня шифрования) 2009 Средняя Сохраняемость, эскалация привилегий, боковое движение
Подозреваемая атака на ключ скелета (понижение уровня шифрования) 2010 Средняя Сохраняемость, боковое движение
Рекогносцировка пользовательских и IP-адресов (S МБ) 2012 Средняя Обнаружение
Предполагаемое использование Золотого билета (данные о авторизации за выделяемые) 2013 Высокая Доступ к учетным данным
Действие проверки подлинности Honeytoken 2014 Средняя Доступ к учетным данным, обнаружение
Предполагаемое кражу удостоверений (pass-the-hash) 2017 Высокая Перемещение внутри периметра
Предполагаемое кражу удостоверений (pass-the-ticket) 2018 Высокий или средний Перемещение внутри периметра
Попытка удаленного выполнения кода 2019 Средняя Выполнение, сохраняемость, эскалация привилегий, отвращение обороны, боковое движение
Вредоносный запрос главного ключа API защиты данных 2020 Высокая Доступ к учетным данным
Разведка членства пользователей и групп (SAMR) 2021 Средняя Обнаружение
Предполагаемое использование Золотого билета (аномалия времени) 2022 Высокая Сохраняемость, эскалация привилегий, боковое движение
Подозреваемая атака подбора (Kerberos, NTLM) 2023 Средняя Доступ к учетным данным
Подозрительные дополнения к конфиденциальным группам 2024 Средняя Сохраняемость, доступ к учетным данным,
Подозрительное VPN-подключение 2025 Средняя Уклонение от обороны, сохраняемость
Подозрительное создание службы 2026 Средняя Выполнение, сохраняемость, эскалация привилегий, уклонение от обороны, боковое движение
Предполагаемое использование Золотого билета (несуществующая учетная запись) 2027 Высокая Сохраняемость, эскалация привилегий, боковое движение
Подозреваемая атака DCShadow (повышение уровня контроллера домена) 2028 Высокая Уклонение от защиты
Подозреваемая атака DCShadow (запрос на реплика контроллера домена) 2029 Высокая Уклонение от защиты
Утечка данных через S МБ 2030 Высокая Эксфильтрация, боковое движение, команда и управление
Подозрительный обмен данными через DNS 2031 Средняя Кража
Предполагаемое использование золотого билета (аномалия билета) 2032 Высокая Сохраняемость, эскалация привилегий, боковое движение
Подозреваемая атака подбора (S МБ) 2033 Средняя Перемещение внутри периметра
Предполагаемое использование платформы взлома Metasploit 2034 Средняя Перемещение внутри периметра
Подозреваемая атака программы-шантажистов WannaCry 2035 Средняя Перемещение внутри периметра
Удаленное выполнение кода через DNS 2036 Средняя Боковое движение, эскалация привилегий
Подозреваемая атака ретранслятора NTLM 2037 Средний или низкий, если наблюдается с помощью подписанного протокола NTLM версии 2 Боковое движение, эскалация привилегий
Рекогносцировка субъекта безопасности (LDAP) 2038 Средняя Доступ к учетным данным
Предполагаемое изменение проверки подлинности NTLM 2039 Средняя Боковое движение, эскалация привилегий
Предполагаемое использование Золотого билета (аномалия билета с помощью RBCD) 2040 Высокая Сохраняемость
Предполагаемое использование сертификата Kerberos 2047 Высокая Перемещение внутри периметра
Подозрительные попытки делегирования Kerberos с помощью метода BronzeBit (CVE-2020-17049) 2048 Средняя Доступ к учетным данным
Рекогносцировка атрибутов Active Directory (LDAP) 2210 Средняя Обнаружение
Предполагаемая обработка пакетов S МБ (эксплуатация CVE-2020-0796) 2406 Высокая Перемещение внутри периметра
Предполагаемое воздействие субъекта-службы Kerberos 2410 Высокая Доступ к учетным данным
Предполагаемая попытка повышения привилегий Netlogon (эксплуатация CVE-2020-1472) 2411 Высокая Повышение привилегий
Подозреваемая атака AS-REP Обжаренная 2412 Высокая Доступ к учетным данным
Предполагаемое чтение ключа DKM AD FS 2413 Высокая Доступ к учетным данным
Удаленное выполнение кода Exchange Server (CVE-2021-26855) 2414 Высокая Перемещение внутри периметра
Предполагаемая попытка эксплуатации в службе Windows Print Spooler 2415 Высокий или средний Перемещение внутри периметра
Подозрительное сетевое подключение через удаленный протокол шифрования файловой системы 2416 Высокий или средний Перемещение внутри периметра
Предполагаемый подозрительный запрос билета Kerberos 2418 Высокая Доступ к учетным данным
Подозрительное изменение атрибута sAMNameAccount (CVE-2021-42278 и CVE-2021-42287) 2419 Высокая Доступ к учетным данным
Подозрительное изменение отношения доверия сервера AD FS 2420 Средняя Повышение привилегий
Подозрительное изменение атрибута dNSHostName (CVE-2022-26923) 2421 Высокая Повышение привилегий
Подозрительные попытки делегирования Kerberos созданным компьютером 2422 Высокая Повышение привилегий
Подозрительное изменение атрибута ограниченного делегирования на основе ресурсов учетной записью компьютера 2423 Высокая Повышение привилегий
Аномальная проверка подлинности службы федерации Active Directory (AD FS) (AD FS) с помощью подозрительного сертификата 2424 Высокая Доступ к учетным данным
Подозрительное использование сертификата по протоколу Kerberos (PKINIT) 2425 Высокая Перемещение внутри периметра
Предполагаемая атака DFSCoerce с помощью протокола распределенной файловой системы 2426 Высокая Доступ к учетным данным
Атрибуты пользователя Honeytoken изменены 2427 Высокая Сохраняемость
Членство в группе Honeytoken изменилось 2428 Высокая Сохраняемость
Honeytoken был запрошен через LDAP 2429 Низкая Обнаружение
Подозрительное изменение домена Администратор SdHolder 2430 Высокая Сохраняемость
Предполагаемое перемещение учетной записи с использованием теневых учетных данных 2431 Высокая Доступ к учетным данным
Запрос на сертификат подозрительного контроллера домена (ESC8) 2432 Высокая Повышение привилегий
Подозрительное удаление записей базы данных сертификата 2433 Средняя Уклонение от защиты
Подозрительный отключение фильтров аудита AD CS 2434 Средняя Уклонение от защиты
Подозрительные изменения разрешений и параметров безопасности AD CS 2435 Средняя Повышение привилегий
Рекогносцировка перечисления учетных записей (LDAP) (предварительная версия) 2437 Средняя Обнаружение учетных записей, учетная запись домена
Изменение пароля в режиме восстановления служб каталогов (предварительная версия) 2438 Средняя Сохраняемость, обработка учетных записей
Honeytoken был запрошен через SAM-R 2439 Низкая Обнаружение

Примечание.

Чтобы отключить любое оповещение системы безопасности, обратитесь в службу поддержки.

См. также