Condividi tramite

Avvisi di sicurezza in Microsoft Defender per identità

Che cosa sono gli avvisi di sicurezza Microsoft Defender per identità?

Microsoft Defender per identità avvisi di sicurezza forniscono informazioni sulle attività sospette rilevate dai sensori defender per identità nella rete e sugli attori e sui computer coinvolti in ogni minaccia. Gli elenchi di prove di avviso contengono collegamenti diretti agli utenti e ai computer coinvolti, per rendere le indagini facili e dirette.

Nota

Defender per identità non è progettato per fungere da soluzione di controllo o registrazione che acquisisce ogni singola operazione o attività nei server in cui è installato il sensore. Acquisisce solo i dati necessari per i meccanismi di rilevamento e raccomandazione.

La pagina Avvisi di identità offre funzionalità di arricchimento del segnale tra domini e di risposta automatizzata all'identità. Il vantaggio dell'analisi degli avvisi con Microsoft Defender XDR è che gli avvisi Microsoft Defender per identità sono correlati alle informazioni ottenute da ognuno degli altri prodotti della suite. Questi avvisi avanzati sono coerenti con gli altri formati di avviso Microsoft Defender XDR provenienti da Microsoft Defender per Office 365 e Microsoft Defender per endpoint.

Gli avvisi provenienti dal trigger di Defender per identità Microsoft Defender XDR funzionalità di analisi e risposta automatizzate (AIR), tra cui la correzione automatica degli avvisi e la mitigazione di strumenti e processi che possono contribuire all'attività sospetta.

Microsoft Defender per identità avvisi vengono attualmente visualizzati in due layout diversi nel portale di Microsoft Defender XDR. Anche se le visualizzazioni degli avvisi possono mostrare informazioni diverse, tutti gli avvisi si basano sui rilevamenti dei sensori di Defender per identità. Le differenze nel layout e nelle informazioni visualizzate fanno parte di una transizione in corso a un'esperienza di avviso unificata tra i prodotti Microsoft Defender.

Per altre informazioni, vedere Visualizzare e gestire gli avvisi di sicurezza.

Categorie di avvisi

Gli avvisi di sicurezza di Defender per identità sono suddivisi nelle categorie o nelle fasi seguenti, come le fasi viste in una tipica kill chain di attacchi informatici. Altre informazioni su ogni fase, sugli avvisi progettati per rilevare ogni attacco e su come usare gli avvisi per proteggere la rete usando i collegamenti seguenti:

  1. Avvisi di ricognizione e individuazione
  2. Avvisi di persistenza e escalation dei privilegi
  3. Avvisi di accesso alle credenziali
  4. Avvisi di spostamento laterale
  5. Altri avvisi

Eseguire il mapping degli avvisi di sicurezza a un ID esterno univoco e a mitre ATT&tattiche di matrice CK

La tabella seguente elenca il mapping tra i nomi degli avvisi, gli ID esterni univoci corrispondenti, la gravità e la tattiche mitre ATT&matrice™ CK. Se usato con script o automazione, Microsoft consiglia l'uso di ID esterni degli avvisi al posto dei nomi degli avvisi, in quanto solo gli ID esterni degli avvisi di sicurezza sono permanenti e non sono soggetti a modifiche.

Nome avviso di sicurezza ID esterno univoco Gravità Matrice™ CK&MITRE ATT
Sospetta iniezione SID-History 1106 Alto Escalation dei privilegi
Sospetto attacco overpass-the-hash (Kerberos) 2002 Medio Movimento laterale
Ricognizione dell'enumerazione dell'account 2003 Medio Individuazione
Sospetto attacco di forza bruta (LDAP) 2004 Medio Accesso alle credenziali
Sospetto attacco DCSync (replica dei servizi directory) 2006 Alto Accesso alle credenziali, persistenza
Ricognizione mapping di rete (DNS) 2007 Medio Individuazione
Sospetto attacco over-pass-the-hash (tipo di crittografia forzata) 2008 Medio Movimento laterale
Sospetto utilizzo di Golden Ticket (downgrade della crittografia) 2009 Medio Persistenza, Escalation dei privilegi, Spostamento laterale
Sospetto attacco skeleton key (downgrade della crittografia) 2010 Medio Persistenza, movimento laterale
Ricognizione di utenti e indirizzi IP (SMB) 2012 Medio Individuazione
Sospetto utilizzo di Golden Ticket (dati di autorizzazione contraffatti) 2013 Alto Accesso alle credenziali
Attività di autenticazione honeytoken 2014 Medio Accesso alle credenziali, individuazione
Sospetto furto di identità (pass-the-hash) 2017 Fortemente Movimento laterale
Sospetto furto di identità (pass-the-ticket) 2018 Alto o Medio Movimento laterale
Tentativo di esecuzione remota del codice 2019 Medio Esecuzione, persistenza, escalation dei privilegi, evasione della difesa, spostamento laterale
Richiesta dannosa della chiave master dell'API Protezione dati 2020 Alto Accesso alle credenziali
Ricognizione dell'appartenenza a utenti e gruppi (SAMR) 2021 Medio Individuazione
Sospetto utilizzo di Golden Ticket (anomalia temporale) 2022 Alto Persistenza, Escalation dei privilegi, Spostamento laterale
Sospetto attacco di forza bruta (Kerberos, NTLM) 2023 Medio Accesso alle credenziali
Aggiunte sospette ai gruppi sensibili 2024 Medio Persistenza, accesso alle credenziali,
Connessione VPN sospetta 2025 Medio Evasione della difesa, persistenza
Creazione di un servizio sospetto 2026 Medio Esecuzione, persistenza, escalation dei privilegi, evasione della difesa, spostamento laterale
Sospetto utilizzo di Golden Ticket (account inesistente) 2027 Alto Persistenza, Escalation dei privilegi, Spostamento laterale
Sospetto attacco DCShadow (promozione del controller di dominio) 2028 Fortemente Evasione della difesa
Sospetto attacco DCShadow (richiesta di replica del controller di dominio) 2029 Fortemente Evasione della difesa
Esfiltrazione dei dati su SMB 2030 Alto Esfiltrazione, spostamento laterale, comando e controllo
Comunicazione sospetta tramite DNS 2031 Medio Sottrazione di dati
Sospetto utilizzo di Golden Ticket (anomalia del ticket) 2032 Alto Persistenza, Escalation dei privilegi, Spostamento laterale
Sospetto attacco di forza bruta (SMB) 2033 Medio Movimento laterale
Sospetto uso del framework di hacking metasploit 2034 Medio Movimento laterale
Sospetto attacco ransomware WannaCry 2035 Medio Movimento laterale
Esecuzione remota del codice tramite DNS 2036 Medio Spostamento laterale, escalation dei privilegi
Sospetto attacco di inoltro NTLM 2037 Medio o Basso se osservato usando il protocollo NTLM v2 firmato Spostamento laterale, escalation dei privilegi
Ricognizione dell'entità di sicurezza (LDAP) 2038 Alto (in caso di problemi di risoluzione o strumento specifico rilevato) e medio Accesso alle credenziali
Sospetta manomissione dell'autenticazione NTLM 2039 Medio Spostamento laterale, escalation dei privilegi
Sospetto utilizzo di Golden Ticket (anomalia del ticket con RBCD) 2040 Fortemente Persistenza
Sospetto utilizzo del certificato Kerberos non autorizzato 2047 Fortemente Movimento laterale
Tentativo di delega Kerberos sospetto tramite il metodo BronzeBit (sfruttamento CVE-2020-17049) 2048 Medio Accesso alle credenziali
Ricognizione degli attributi di Active Directory (LDAP) 2210 Medio Individuazione
Sospetta manipolazione dei pacchetti SMB (sfruttamento CVE-2020-0796) 2406 Alto Movimento laterale
Sospetta esposizione del nome SPN Kerberos 2410 Alto Accesso alle credenziali
Sospetto tentativo di elevazione dei privilegi netlogon (sfruttamento CVE-2020-1472) 2411 Alto Escalation dei privilegi
Sospetto attacco di tostatura AS-REP 2412 Alto Accesso alle credenziali
Sospetto lettura del tasto AD FS DKM 2413 Alto Accesso alle credenziali
Exchange Server esecuzione remota del codice (CVE-2021-26855) 2414 Alto Movimento laterale
Sospetto tentativo di sfruttamento nel servizio Spooler di stampa windows 2415 Alto o Medio Movimento laterale
Connessione di rete sospetta tramite crittografia del protocollo remoto del file system 2416 Alto o Medio Movimento laterale
Sospetta richiesta di ticket Kerberos sospetta 2418 Alto Accesso alle credenziali
Modifica sospetta di un attributo sAMNameAccount (CVE-2021-42278 e CVE-2021-42287 exploitation) 2419 Alto Accesso alle credenziali
Modifica sospetta della relazione di trust del server AD FS 2420 Medio Escalation dei privilegi
Modifica sospetta di un attributo dNSHostName (CVE-2022-26923) 2421 Alto Escalation dei privilegi
Tentativo di delega Kerberos sospetto da parte di un computer appena creato 2422 Alto Escalation dei privilegi
Modifica sospetta dell'attributo delega vincolata basata su risorse da parte di un account computer 2423 Alto Escalation dei privilegi
Autenticazione anomala Active Directory Federation Services (AD FS) tramite un certificato sospetto 2424 Alto Accesso alle credenziali
Utilizzo sospetto del certificato tramite protocollo Kerberos (PKINIT) 2425 Alto Movimento laterale
Sospetto attacco DFSCoerce tramite distributed file system protocol 2426 Alto Accesso alle credenziali
Attributi utente honeytoken modificati 2427 Alto Persistenza
Appartenenza al gruppo Honeytoken modificata 2428 Fortemente Persistenza
Honeytoken è stato sottoposto a query tramite LDAP 2429 Bassa Individuazione
Modifica sospetta del dominio AdminSdHolder 2430 Fortemente Persistenza
Sospetto acquisizione dell'account tramite credenziali shadow 2431 Alto Accesso alle credenziali
Richiesta di certificato controller di dominio sospetto (ESC8) 2432 Alto Escalation dei privilegi
Eliminazione sospetta delle voci del database del certificato 2433 Medio Evasione della difesa
Disabilitazione sospetta dei filtri di controllo di Servizi certificati Active Directory 2434 Medio Evasione della difesa
Modifiche sospette alle autorizzazioni/impostazioni di sicurezza di Servizi certificati Active Directory 2435 Medio Escalation dei privilegi
Ricognizione dell'enumerazione account (LDAP) ( anteprima) 2437 Medio Individuazione account, account di dominio
Modifica della password in modalità ripristino servizi directory 2438 Medio Persistenza, manipolazione dell'account
manomissione Criteri di gruppo 2440 Medio Evasione della difesa

Nota

Contattare il supporto tecnico per disabilitare gli avvisi di sicurezza.

Vedere anche