Поделиться через

Оповещения системы безопасности в Microsoft Defender для удостоверений

Что такое оповещения системы безопасности Microsoft Defender для удостоверений?

Microsoft Defender для удостоверений оповещения системы безопасности содержат сведения о подозрительных действиях, обнаруженных датчиками Defender для удостоверений в сети, а также об субъектах и компьютерах, участвующих в каждой угрозе. Списки свидетельств оповещений содержат прямые ссылки на связанных пользователей и компьютеры, упрощая исследование.

Примечание.

Defender для удостоверений не предназначен для использования в качестве решения для аудита или ведения журнала, которое фиксирует каждую операцию или действие на серверах, где установлен датчик. Он записывает только данные, необходимые для механизмов обнаружения и рекомендаций.

На странице Оповещения удостоверений предоставляются возможности обогащения междоменных сигналов и автоматического реагирования удостоверений. Преимущество изучения оповещений с помощью Microsoft Defender XDR заключается в том, что Microsoft Defender для удостоверений оповещения сопоставляются с информацией, полученной от каждого из других продуктов в наборе. Эти расширенные оповещения соответствуют другим Microsoft Defender XDR форматам оповещений, поступающим из Microsoft Defender для Office 365 и Microsoft Defender для конечной точки.

Оповещения, исходящие из Defender для удостоверений, активируют Microsoft Defender XDR возможностями автоматического исследования и реагирования (AIR), включая автоматическое исправление оповещений и устранение неполадок с инструментами и процессами, которые могут способствовать подозрительной активности.

Microsoft Defender для удостоверений оповещения в настоящее время отображаются в двух разных макетах на портале Microsoft Defender XDR. Хотя в представлениях оповещений могут отображаться разные сведения, все оповещения основаны на обнаружении с датчиков Defender для удостоверений. Различия в макете и информации являются частью текущего перехода к единому интерфейсу оповещений в Microsoft Defender продуктах.

Дополнительные сведения см. в разделе Просмотр оповещений системы безопасности и управление ими.

Категории оповещений

Оповещения системы безопасности Defender для удостоверений делятся на следующие категории или этапы, такие как этапы, наблюдаемые в типичной цепочке кибератак. Узнайте больше о каждом этапе, оповещениях, предназначенных для обнаружения каждой атаки, и об использовании оповещений для защиты сети, используя следующие ссылки:

  1. Оповещения о рекогносцировках и обнаружении
  2. Оповещения о сохраняемости и эскалации привилегий
  3. Оповещения о доступе к учетным данным
  4. Оповещения о боковом перемещении
  5. Другие оповещения

Сопоставление оповещений системы безопасности с уникальным внешним идентификатором и тактикой MITRE ATT&CK Matrix

В следующей таблице представлено сопоставление имен оповещений, соответствующих уникальных внешних идентификаторов, серьезности и тактики mitre ATT&матрицы™ CK. При использовании со сценариями или автоматизацией корпорация Майкрософт рекомендует использовать внешние идентификаторы оповещений вместо имен оповещений, так как только внешние идентификаторы оповещений системы безопасности являются постоянными и не подлежат изменению.

Имя оповещения системы безопасности Уникальный внешний идентификатор Severity MITRE ATT&матрица™ CK
Предполагаемая инъекция SID-History 1106 Высокая Повышение привилегий
Предполагаемая атака путепровода с хэшом (Kerberos) 2002 Средняя Боковое смещение
Разведывательная разведка перечисления учетных записей 2003 Средняя Обнаружение
Предполагаемая атака методом подбора (LDAP) 2004 Средняя Доступ к учетным данным
Предполагаемая атака DCSync (репликация служб каталогов) 2006 Высокая Доступ к учетным данным, сохраняемость
Разведывательная разведка сопоставления сети (DNS) 2007 Средняя Обнаружение
Предполагаемая атака с передачей хэша (тип принудительного шифрования) 2008 Средняя Боковое смещение
Предполагаемое использование Golden Ticket (понижение уровня шифрования) 2009 Средняя Сохраняемость, повышение привилегий, боковое перемещение
Предполагаемая атака с использованием скелетного ключа (понижение уровня шифрования) 2010 Средняя Сохраняемость, боковое смещение
Разведывательная разведка пользователей и IP-адресов (SMB) 2012 Средняя Обнаружение
Предполагаемое использование Golden Ticket (поддельные данные авторизации) 2013 Высокая Доступ к учетным данным
Действие проверки подлинности Honeytoken 2014 Средняя Доступ к учетным данным, обнаружение
Подозрение на кражу удостоверений (pass-the-hash) 2017 Высокая Боковое смещение
Подозрение на кражу удостоверений (pass-the-ticket) 2018 Высокий или Средний Боковое смещение
Попытка удаленного выполнения кода 2019 Средняя Выполнение, сохраняемость, повышение привилегий, уклонение от защиты, боковое движение
Вредоносный запрос master ключа API защиты данных 2020 Высокая Доступ к учетным данным
Разведывательная разведка членства пользователей и групп (SAMR) 2021 Средняя Обнаружение
Предполагаемое использование Golden Ticket (аномалия времени) 2022 Высокая Сохраняемость, повышение привилегий, боковое перемещение
Предполагаемая атака методом подбора (Kerberos, NTLM) 2023 Средняя Доступ к учетным данным
Подозрительные добавления в конфиденциальные группы 2024 Средняя Сохраняемость, доступ к учетным данным,
Подозрительное VPN-подключение 2025 Средняя Уклонение от обороны, сохраняемость
Подозрительное создание службы 2026 Средняя Выполнение, сохраняемость, эскалация привилегий, уклонение от защиты, боковое движение
Предполагаемое использование Golden Ticket (несуществующая учетная запись) 2027 Высокая Сохраняемость, повышение привилегий, боковое перемещение
Предполагаемая атака DCShadow (повышение уровня контроллера домена) 2028 Высокая Уклонение от обороны
Предполагаемая атака DCShadow (запрос на репликацию контроллера домена) 2029 Высокая Уклонение от обороны
Кража данных через SMB 2030 Высокая Кража, боковое смещение, команда и управление
Подозрительная связь через DNS 2031 Средняя Кража данных
Предполагаемое использование Golden Ticket (аномалия билета) 2032 Высокая Сохраняемость, повышение привилегий, боковое перемещение
Предполагаемая атака методом подбора (SMB) 2033 Средняя Боковое смещение
Предполагаемое использование платформы взлома Metasploit 2034 Средняя Боковое смещение
Предполагаемая атака программы-шантажиста WannaCry 2035 Средняя Боковое смещение
Удаленное выполнение кода через DNS 2036 Средняя Боковое смещение, повышение привилегий
Предполагаемая атака ретранслятора NTLM 2037 Средний или низкий, если наблюдается использование подписанного протокола NTLM версии 2 Боковое смещение, повышение привилегий
Разведывательная разведка субъекта безопасности (LDAP) 2038 Высокий (в случае устранения проблем или обнаружен определенный инструмент) и средний Доступ к учетным данным
Предполагаемое изменение проверки подлинности NTLM 2039 Средняя Боковое смещение, повышение привилегий
Предполагаемое использование Golden Ticket (аномалия билета с помощью RBCD) 2040 Высокая Сохранение
Предполагаемое использование сертификата Kerberos изгоев 2047 Высокая Боковое смещение
Подозрительная попытка делегирования Kerberos с помощью метода BronzeBit (эксплуатация CVE-2020-17049) 2048 Средняя Доступ к учетным данным
Разведывательная разведка атрибутов Active Directory (LDAP) 2210 Средняя Обнаружение
Предполагаемая обработка пакетов SMB (эксплуатация CVE-2020-0796) 2406 Высокая Боковое смещение
Предполагаемое воздействие имени субъекта-службы Kerberos 2410 Высокая Доступ к учетным данным
Предполагаемая попытка повышения привилегий netlogon (эксплуатация CVE-2020-1472) 2411 Высокая Повышение привилегий
Подозреваемая атака as-REP Roasting 2412 Высокая Доступ к учетным данным
Предполагаемое чтение ключа DKM AD FS 2413 Высокая Доступ к учетным данным
Exchange Server удаленное выполнение кода (CVE-2021-26855) 2414 Высокая Боковое смещение
Предполагаемая попытка использования в службе диспетчера очереди печати Windows 2415 Высокий или Средний Боковое смещение
Подозрительное сетевое подключение по удаленному протоколу зашифрованной файловой системы 2416 Высокий или Средний Боковое смещение
Подозрительный запрос билета Kerberos 2418 Высокая Доступ к учетным данным
Подозрительное изменение атрибута sAMNameAccount (использование CVE-2021-42278 и CVE-2021-42287) 2419 Высокая Доступ к учетным данным
Подозрительное изменение отношения доверия сервера AD FS 2420 Средняя Повышение привилегий
Подозрительное изменение атрибута dNSHostName (CVE-2022-26923) 2421 Высокая Повышение привилегий
Подозрительная попытка делегирования Kerberos на созданном компьютере 2422 Высокая Повышение привилегий
Подозрительное изменение атрибута ограниченного делегирования на основе ресурсов учетной записью компьютера 2423 Высокая Повышение привилегий
Аномальная проверка подлинности службы федерации Active Directory (AD FS) (AD FS) с использованием подозрительного сертификата 2424 Высокая Доступ к учетным данным
Подозрительное использование сертификата по протоколу Kerberos (PKINIT) 2425 Высокая Боковое смещение
Предполагаемая атака DFSCoerce с использованием протокола распределенной файловой системы 2426 Высокая Доступ к учетным данным
Измененные атрибуты пользователя Honeytoken 2427 Высокая Сохранение
Изменено членство в группах Honeytoken 2428 Высокая Сохранение
Запрос к Honeytoken через LDAP 2429 Низкая Обнаружение
Подозрительное изменение домена AdminSdHolder 2430 Высокая Сохранение
Предполагаемое поглощение учетной записи с использованием теневых учетных данных 2431 Высокая Доступ к учетным данным
Подозрительный запрос на сертификат контроллера домена (ESC8) 2432 Высокая Повышение привилегий
Подозрительное удаление записей базы данных сертификатов 2433 Средняя Уклонение от обороны
Подозрительное отключение фильтров аудита ad CS 2434 Средняя Уклонение от обороны
Подозрительные изменения разрешений и параметров безопасности ad CS 2435 Средняя Повышение привилегий
Разведывательная разведка перечисления учетных записей (LDAP) (предварительная версия) 2437 Средняя Обнаружение учетных записей, учетная запись домена
Изменение пароля в режиме восстановления служб каталогов 2438 Средняя Сохраняемость, управление учетными записями
изменение групповая политика 2440 Средняя Уклонение от обороны

Примечание.

Чтобы отключить оповещения системы безопасности, обратитесь в службу поддержки.

См. также