Sicherheitswarnungen in Microsoft Defender for Cloud

Hinweis

Die auf dieser Seite beschriebenen Erfahrungen können unter https://security.microsoft.com als Teil von Microsoft Defender XDR abgerufen werden.

Microsoft Defender for Identity-Sicherheitswarnungen erläutern die verdächtigen Aktivitäten, die von Defender for Identity-Sensoren in Ihrem Netzwerk erkannt wurden, sowie die Akteure und Computer, die an jeder Bedrohung beteiligt sind. Warnungsnachweislisten enthalten direkte Links zu den beteiligten Benutzern und Computern, um Ihre Untersuchungen einfach und direkt zu gestalten.

Defender for Identity-Sicherheitswarnungen werden in die folgenden Kategorien oder Phasen unterteilt, wie die Phasen, die in einer typischen Killchain für Cyberangriffe zu sehen sind. Erfahren Sie mehr über jede Phase, die Warnungen, die für die Erkennung der einzelnen Angriffe entwickelt wurden, und wie Sie die Warnungen verwenden, um Ihr Netzwerk mithilfe der folgenden Links zu schützen:

  1. Aufklärungs- und Ermittlungswarnungen
  2. Persistenz- und Berechtigungseskalationswarnungen
  3. Benachrichtigungen zum Zugriff auf Anmeldeinformationen
  4. Meldungen über laterale Verschiebungen
  5. Andere Warnungen

Weitere Informationen zum Verständnis der Struktur und zu gängigen Komponenten aller Defender for Identity-Sicherheitswarnungen finden Sie unter Grundlegendes zu Sicherheitswarnungen.

Zuordnung von Sicherheitswarnungsnamen und eindeutigen externen IDs

In der folgenden Tabelle sind die Zuordnung zwischen Warnungsnamen, den entsprechenden eindeutigen externen IDs, dem Schweregrad und der MITRE ATT&CK Matrix™-Taktik aufgeführt. Bei Verwendung mit Skripts oder Automatisierung empfiehlt Microsoft die Verwendung externer Warnungs-IDs anstelle von Warnungsnamen, da nur externe Sicherheitswarnungs-IDs dauerhaft sind und nicht geändert werden können.

Externe ID

Name der Sicherheitswarnung Eindeutige externe ID Severity MITRE ATT&CK-Matrix™
Verdacht auf SID-History-Injektion 1106 Hoch Rechteausweitung
Verdächtiger Overpass-the-Hash-Angriff (Kerberos) 2002 Medium Laterale Verschiebung
Reconnaissance mithilfe von Kontoenumeration 2003 Medium Ermittlung
Verdächtiger Brute-Force-Angriff (LDAP) 2004 Medium Zugriff auf Anmeldeinformationen
Verdächtiger DCSync-Angriff (Replikation von Verzeichnisdiensten) 2006 Hoch Zugriff auf Anmeldeinformationen, Persistenz
Netzwerkzuordnungsaufklärung (DNS) 2007 Medium Ermittlung
Verdacht auf Over-Pass-the-Hash-Angriff (erzwungene Verschlüsselung) 2008 Medium Laterale Verschiebung
Verdächtige Golden Ticket-Nutzung (Verschlüsselungs-Downgrade) 2009 Medium Persistenz, Berechtigungseskalation, Laterale Verschiebung
Verdächtige Skelettschlüsselangriffe (Verschlüsselungsdowngrade) 2010 Medium Persistenz, Laterale Verschiebung
Benutzer- und IP-Adressenaufklärung (SMB) 2012 Medium Ermittlung
Verdächtige Golden Ticket-Nutzung (geschmiedete Autorisierungsdaten) 2013 Hoch Zugriff auf Anmeldeinformationen
Honeytoken-Authentifizierungsaktivität 2014 Medium Zugang zu Anmeldeinformationen, Entdecken
Verdächtiger Identitätsdiebstahl (Pass-the-Hash) 2017 Hoch Laterale Verschiebung
Verdächtiger Identitätsdiebstahl (Pass-the-Ticket) 2018 Hoch oder Mittel Laterale Verschiebung
Versuch der entfernten Codeausführung 2019 Medium Ausführung, Persistenz, Berechtigungseskalation, Abwehrhinterziehung, Laterale Verschiebung
Bösartige Anforderung des Datenschutz-API-Hauptschlüssels 2020 Hoch Zugriff auf Anmeldeinformationen
Benutzer- und Gruppenmitgliedschaftsaufklärung (SAMR) 2021 Medium Ermittlung
Verdächtige Golden Ticket-Nutzung (Anomalie) 2022 Hoch Persistenz, Berechtigungseskalation, Laterale Verschiebung
Verdächtiger Brute Force-Angriff (Kerberos, NTLM) 2023 Medium Zugriff auf Anmeldeinformationen
Verdächtige Ergänzungen zu vertraulichen Gruppen 2024 Medium Persistenz, Zugriff auf Anmeldeinformationen,
Verdächtige VPN-Verbindung 2025 Medium Verteidigungsumgehung, Persistenz
Verdächtiges Erstellen eines Diensts 2026 Medium Ausführung, Persistenz, Berechtigungseskalation, Abwehrhinterziehung, Laterale Verschiebung
Verdächtige Golden Ticket-Nutzung (nicht vorhandenes Konto) 2027 Hoch Persistenz, Berechtigungseskalation, Laterale Verschiebung
Verdächtiger DCShadow-Angriff (do Standard Controllerheraufstufung) 2028 Hoch Umgehen von Verteidigungsmaßnahmen
Verdächtiger DCShadow-Angriff (do Standard Controllerreplikationsanforderung) 2029 Hoch Umgehen von Verteidigungsmaßnahmen
Datenexfiltration über SMB 2030 Hoch Exfiltration, Laterale Verschiebung, Command-and-control
Verdächtige Kommunikation über DNS 2031 Medium Exfiltration
Verdächtige Golden Ticket-Nutzung (Anomalie) 2032 Hoch Persistenz, Berechtigungseskalation, Laterale Verschiebung
Verdächtiger Brute-Force-Angriff (SMB) 2033 Medium Laterale Verschiebung
Verdächtige Verwendung von Metasploit Hacking Framework 2034 Medium Laterale Verschiebung
Verdächtiger WannaCry Ransomware-Angriff 2035 Medium Laterale Verschiebung
Remotecodeausführung über DNS 2036 Medium Lateral Movement, Rechteausweitung
Verdächtiger NTLM-Relayangriff 2037 Mittel oder Niedrig, wenn mithilfe des signierten NTLM v2-Protokolls beobachtet wird Lateral Movement, Rechteausweitung
Sicherheitsprinzipalreconnaissance (LDAP) 2038 Medium Zugriff auf Anmeldeinformationen
Verdächtige NTLM-Authentifizierungsmanipulation 2039 Medium Lateral Movement, Rechteausweitung
Verdächtige Golden Ticket-Nutzung (Ticketomaly using RBCD) 2040 Hoch Persistenz
Verdächtige abtrünnige Verwendung von Kerberos-Zertifikaten 2047 Hoch Laterale Verschiebung
Verdächtiger Kerberos-Delegierungsversuch mithilfe der BronzeBit-Methode (CVE-2020-17049-Ausnutzung) 2048 Medium Zugriff auf Anmeldeinformationen
Reconnaissance von Active-Directory-Attributen (LDAP) 2210 Medium Ermittlung
Verdacht auf Manipulation von SMB-Paketen (CVE-2020-0796 Ausnutzung) 2406 Hoch Laterale Verschiebung
Verdächtige Kerberos-SPN-Exposition 2410 Hoch Zugriff auf Anmeldeinformationen
Verdächtige Erhöhung von Netlogon-Berechtigungen (CVE-2020-1472-Ausbeutung) 2411 Hoch Rechteausweitung
Verdächtiger AS-REP-Röstangriff 2412 Hoch Zugriff auf Anmeldeinformationen
Verdächtige AD FS DKM-Taste lesen 2413 Hoch Zugriff auf Anmeldeinformationen
Exchange Server Remotecode-Ausführung (CVE-2021-26855) 2414 Hoch Laterale Verschiebung
Verdächtiger Ausbeutungsversuch für den Windows Print-Spooler-Dienst 2415 Hoch oder Mittel Laterale Verschiebung
Verdächtige Netzwerkverbindung über verschlüsselndes Dateisystem-Remoteprotokoll 2416 Hoch oder Mittel Laterale Verschiebung
Vermutete verdächtige Kerberos-Ticketanforderung 2418 Hoch Zugriff auf Anmeldeinformationen
Verdächtige Änderung eines sAMNameAccount-Attributs (Ausnutzung von CVE-2021-42278 und CVE-2021-42287) 2419 Hoch Zugriff auf Anmeldeinformationen
Verdächtige Änderung der Vertrauensbeziehung des AD FS-Servers 2420 Medium Rechteausweitung
Verdächtige Änderung eines dNSHostName-Attributs (CVE-2022-26923) 2421 Hoch Rechteausweitung
Verdächtiger Kerberos-Delegierungsversuch durch einen neu erstellten Computer 2422 Hoch Rechteausweitung
Verdächtige Änderung des Attributs „Ressourcenbasierte eingeschränkte Delegierung“ durch ein Computerkonto 2423 Hoch Rechteausweitung
Ungewöhnliche AD FS-Authentifizierung (Active Directory-Verbunddienste) mit einem verdächtigen Zertifikat 2424 Hoch Zugriff auf Anmeldeinformationen
Verdächtige Zertifikatsnutzung über das Kerberos-Protokoll (PKINIT) 2425 Hoch Laterale Verschiebung
Vermuteter DFSCoerce-Angriff, der das Protokoll „Verteiltes Dateisystem“ verwendet 2426 Hoch Zugriff auf Anmeldeinformationen
Honeytoken-Benutzerattribute geändert 2427 Hoch Persistenz
Honeytoken-Gruppenmitgliedschaft geändert 2428 Hoch Persistenz
Honeytoken über LDAP abgefragt 2429 Niedrig Ermittlung
Verdächtige Änderung der Domäne „AdminSdHolder“ 2430 Hoch Persistenz
Vermutete Kontoübernahme mithilfe von Schattenanmeldeinformationen 2431 Hoch Zugriff auf Anmeldeinformationen
Verdächtige Domänencontroller-Zertifikatanforderung (ESC8) 2432 Hoch Ausweitung von Berechtigungen
Verdächtiges Löschen der Zertifikatdatenbankeinträge 2433 Medium Umgehen von Verteidigungsmaßnahmen
Verdächtiges Deaktivieren von Überwachungsfiltern von AD CS 2434 Medium Umgehen von Verteidigungsmaßnahmen
Verdächtige Änderungen an den AD CS-Sicherheitsberechtigungen/-einstellungen 2435 Medium Ausweitung von Berechtigungen
Reconnaissance mithilfe von Kontoenumeration (LDAP) (Preview) 2437 Medium Kontoermittlung, Domänenkonto
Kennwortänderung für Verzeichnisdienste-Wiederherstellungsmodus 2438 Medium Persistenz, Kontomanipulation
Honeytoken über SAM-R abgefragt 2439 Niedrig Ermittlung
Manipulation der Gruppenrichtlinie 2440 Medium Umgehen von Verteidigungsmaßnahmen

Hinweis

Wenden Sie sich an den Support, um eine Sicherheitswarnung von Defender for Identity zu deaktivieren.

Weitere Informationen