Alertas de seguridad en Microsoft Defender for Identity

Nota:

Se puede acceder a la experiencia descrita en esta página en https://security.microsoft.com como parte de Microsoft Defender XDR.

Las alertas de seguridad de Microsoft Defender for Identity explican las actividades sospechosas detectadas por los sensores de Defender for Identity en la red y los actores y equipos implicados en cada amenaza. Las listas de evidencias de alerta contienen vínculos directos a los usuarios y equipos implicados para ayudar a facilitar y dirigir sus investigaciones.

Las alertas de seguridad de Defender for Identity se dividen en las siguientes categorías o fases, como las fases que se ven en una cadena típica de eliminación de ataques cibernéticos. Obtenga más información sobre cada fase, las alertas diseñadas para detectar cada ataque y cómo usar las alertas para ayudar a proteger la red mediante los vínculos siguientes:

  1. Alertas de reconocimiento y detección
  2. Alertas de persistencia y elevación de privilegios
  3. Alertas de acceso con credenciales
  4. Alertas de movimientos laterales
  5. Otras alertas

Para obtener más información sobre la estructura y los componentes comunes de todas las alertas de seguridad de Defender for Identity, consulte Comprender las alertas de seguridad.

Asignación de nombres de alerta de seguridad e identificadores externos únicos

En la tabla siguiente se muestra la asignación entre los nombres de alerta, sus identificadores externos únicos correspondientes, su gravedad y su táctica MITRE ATT&CK Matrix™. Cuando se usa con scripts o automatización, Microsoft recomienda el uso de identificadores externos de alertas en lugar de nombres de alerta, ya que solo los identificadores externos de alerta de seguridad son permanentes y no están sujetos a cambios.

Ids. externos

Nombre de Alertas de seguridad Identificador externo único Gravedad MITRE ATT&CK Matrix™
Inyección de SID-History sospechosa 1106 Alto Elevación de privilegios
Sospecha de ataque overpass-the-hash (Kerberos) 2002 Media Desplazamiento lateral
Reconocimiento de enumeración de cuentas 2003 Media Detección
Sospecha de ataque por fuerza bruta (LDAP) 2004 Media Acceso de credencial
Sospecha de ataque DCSync (replicación de servicios de directorio) 2006 Alto Acceso a credenciales, persistencia
Reconocimiento de asignación de red (DNS) 2007 Media Detección
Sospecha de ataque over-pass-the-hash (tipo de cifrado forzado) 2008 Media Desplazamiento lateral
Sospecha de uso de Golden Ticket (degradación de cifrado) 2009 Media Persistencia, elevación de privilegios, movimiento lateral
Sospecha de ataque de Llave maestra (degradación de cifrado) 2010 Media Persistencia, movimiento lateral
Reconocimiento de direcciones IP y usuarios (SMB) 2012 Media Detección
Sospecha de uso de Golden Ticket (datos de autorización falsificados) 2013 Alto Acceso de credencial
Actividad de autenticación de honeytoken 2014 Media Acceso de credenciales, Discovery
Sospecha de robo de identidad (pass-the-hash) 2017 Alto Desplazamiento lateral
Sospecha de robo de identidad (pass-the-ticket) 2018 Medio o Alto Desplazamiento lateral
Intento de ejecución remota de código 2019 Media Ejecución, persistencia, elevación de privilegios, evasión de defensa, movimiento lateral
Solicitud malintencionada de la clave maestra de la API de protección de datos 2020 Alto Acceso de credencial
Reconocimiento de pertenencia a grupos y usuarios (SAMR) 2021 Media Detección
Sospecha de uso de Golden Ticket (anomalía de tiempo) 2022 Alto Persistencia, elevación de privilegios, movimiento lateral
Sospecha de ataque por fuerza bruta (Kerberos, NTLM) 2023 Media Acceso de credencial
Incorporaciones sospechosas a grupos confidenciales 2024 Media Persistencia, acceso a credenciales
Conexión de VPN sospechosa 2025 Media Evasión de las defensas, persistencia
Creación del servicio sospechoso 2026 Media Ejecución, persistencia, elevación de privilegios, evasión de defensa, movimiento lateral
Sospecha de uso de Golden Ticket (cuenta inexistente) 2027 Alto Persistencia, elevación de privilegios, movimiento lateral
Sospecha de ataque DCShadow (promoción del controlador de dominio) 2028 Alto Evasión defensiva
Sospecha de ataque DCShadow (solicitud de replicación del controlador de dominio) 2029 Alto Evasión defensiva
Exfiltración de datos a través de SMB 2030 Alto Exfiltración, movimiento lateral, comando y control
Comunicación sospechosa a través de DNS 2031 Media Exfiltración
Sospecha de uso de Golden Ticket (anomalía de ticket) 2032 Alto Persistencia, elevación de privilegios, movimiento lateral
Sospecha de ataque por fuerza bruta (SMB) 2033 Media Desplazamiento lateral
Sospecha de uso del marco de piratería Metasploit 2034 Media Desplazamiento lateral
Sospecha de ataque de ransomware WannaCry 2035 Media Desplazamiento lateral
Ejecución remota de código mediante DNS 2036 Media Movimiento lateral, elevación de privilegios
Sospecha de ataque de retransmisión NTLM 2037 Medio o bajo si se observa mediante el protocolo NTLM v2 firmado Movimiento lateral, elevación de privilegios
Reconocimiento de entidad de seguridad (LDAP) 2038 Media Acceso de credencial
Sospecha de alteración de la autenticación NTLM 2039 Media Movimiento lateral, elevación de privilegios
Sospecha de uso de Golden Ticket (anomalía de ticket con RBCD) 2040 Alto Persistencia
Sospecha de uso de certificados Kerberos no autorizados 2047 Alto Desplazamiento lateral
Intento sospechoso de delegación Kerberos utilizando el método BronzeBit (explotación CVE-2020-17049) 2048 Media Acceso de credencial
Reconocimiento de atributos de Active Directory (LDAP) 2210 Media Detección
Sospecha de manipulación de paquetes SMB (explotación CVE-2020-0796) 2406 Alto Desplazamiento lateral
Sospecha de exposición de SPN de Kerberos 2410 Alto Acceso de credencial
Sospecha de intento de elevación de privilegios de Netlogon (explotación de CVE-2020-1472) 2411 Alto Elevación de privilegios
Sospecha de ataque Roasting AS-REP 2412 Alto Acceso de credencial
Sospecha de lectura de la clave DKM de AD FS 2413 Alto Acceso de credencial
Ejecución de Código Remoto de Servidor Exchange (CVE-2021-26855) 2414 Alto Desplazamiento lateral
Sospecha de intento de explotación en el servicio de administración de trabajos de impresión en cola de Windows 2415 Medio o Alto Desplazamiento lateral
Conexión de red sospechosa a través del protocolo remoto del sistema de cifrado de archivos 2416 Medio o Alto Desplazamiento lateral
Sospecha de solicitud de vale de Kerberos sospechosa 2418 Alto Acceso de credencial
Modificación sospechosa de un atributo sAMNameAccount (explotación de CVE-2021-42278 y CVE-2021-42287) 2419 Alto Acceso de credencial
Modificación sospechosa de la relación de confianza del servidor AD FS 2420 Media Elevación de privilegios
Modificación sospechosa de un atributo dNSHostName (CVE-2022-26923) 2421 Alto Elevación de privilegios
Intento sospechoso de delegación de Kerberos por parte de un equipo recién creado 2422 Alto Elevación de privilegios
Modificación sospechosa del atributo Delegación restringida basada en recursos por parte de una cuenta de equipo 2423 Alto Elevación de privilegios
Autenticación anómala de Servicios de federación de Active Directory (AD FS) mediante un certificado sospechoso 2424 Alto Acceso de credencial
Uso sospechoso de certificados mediante el protocolo Kerberos (PKINIT) 2425 Alto Desplazamiento lateral
Sospecha de ataque DFSCoerce mediante el protocolo Sistema de archivos distribuido 2426 Alto Acceso de credencial
Atributos de usuario de honeytoken modificados 2427 Alto Persistencia
Se ha cambiado la pertenencia a grupos de Honeytoken 2428 Alto Persistencia
Honeytoken se consultó a través de LDAP 2429 Bajo Detección
Modificación sospechosa de AdminSdHolder del dominio 2430 Alto Persistencia
Sospecha de adquisición de cuenta mediante credenciales de instantánea 2431 Alto Acceso de credencial
Solicitud sospechosa de certificado de controlador de certificado (ESC8) 2432 Alto Escalación de privilegios
Eliminación sospechosa de las entradas de la base de datos de certificados 2433 Media Evasión defensiva
Deshabilitación sospechosa de filtros de auditoría de AD CS 2434 Media Evasión defensiva
Modificaciones sospechosas en los permisos o la configuración de seguridad de AD CS 2435 Media Escalación de privilegios
Reconocimiento de enumeración de cuentas (LDAP) (versión preliminar) 2437 Media Detección de cuentas, cuenta de dominio
Cambio de contraseña en modo de restauración de Directory Services (versión preliminar) 2438 Media Persistencia, manipulación de cuentas
Honeytoken se consultó a través de SAM-R 2439 Bajo Detección

Nota:

Para deshabilitar cualquier alerta de seguridad, póngase en contacto con el soporte técnico.

Consulte también