Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Defender para Identidade alertas podem aparecer no portal do Microsoft Defender XDR em dois formatos diferentes, consoante o alerta tenha origem no Defender para Identidade ou Defender XDR. Todos os alertas são baseados em deteções de sensores do Defender para Identidade. As diferenças no esquema e nas informações fazem parte de uma transição contínua para uma experiência de alerta unificada em Microsoft Defender produtos.
Para saber mais sobre como compreender a estrutura e os componentes comuns de todos os alertas de segurança do Defender para Identidade, veja Ver e gerir alertas.
Microsoft Defender para Identidade categorias de alerta XDR
Os alertas de segurança do Defender para Identidade são categorizados pelas respetivas táticas MITRE ATT&CK correspondentes. Isto facilita a compreensão da técnica de ataque suspeita potencialmente em utilização quando um alerta do Defender para Identidade é acionado. Esta página contém informações sobre cada alerta, para ajudar nas suas tarefas de investigação e remediação. Este guia contém informações gerais sobre as condições para acionar alertas. Tenha em atenção que os alertas baseados em anomalias só são acionados quando o comportamento se desvia significativamente das linhas de base estabelecidas.
- Acesso Inicial
- Execução
- Persistência
- Escalamento de Privilégios
- Evasão à Defesa
- Acesso a Credenciais
- Deteção
- Movimento Lateral
- Coleção
Alertas de Acesso Inicial
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar obter uma posição inicial na sua organização.
| Nome do alerta de segurança | Gravidade | Técnica MITRE | ID do Detetor |
|---|---|---|---|
Okta anonymous user access (Acesso de utilizador anónimo okta)Descrição: Foi detetado acesso de Utilizador Anónimo. |
High | T1078 | xdr_OktaAnonymousUserAccess |
Spray de palavra-passe no OneLoginDescrição: Um endereço IP suspeito tentou autenticar-se no OneLogin com várias contas válidas. Um atacante pode estar a tentar encontrar credenciais de conta de utilizador válidas para um comportamento de seguimento posterior. |
Média | T1110.003 | xdr_OneLoginPasswordSpray |
Enumeração suspeita da conta OktaDescrição: Um endereço IP suspeito enumerava contas Okta. Um atacante pode estar a tentar realizar atividades de deteção para um comportamento de seguimento posterior. |
High | T1078.004 | xdr_SuspiciousOktaAccountEnumeration |
Fadiga suspeita da MFA do OneLoginDescrição: Um endereço IP suspeito enviou várias tentativas de desafio de autenticação multifator (MFA) do OneLogin para uma conta de utilizador. Um atacante pode ter comprometido as credenciais da conta do utilizador e está a tentar inundar e ignorar o mecanismo de MFA. |
Média | T1110.003 | xdr_OneLoginMfaFatigue |
Início de sessão suspeito feito numa conta de administradorDescrição: O início de sessão de uma conta de administrador foi efetuado de forma suspeita. Este comportamento pode indicar que uma conta de utilizador foi comprometida e está a ser utilizada para atividades maliciosas. |
Baixo | T1078.001 | xdr_SuspiciousAdminAccountSignIn |
Início de sessão suspeito feito com um certificado maliciosoDescrição: Um utilizador iniciou sessão na organização com um certificado malicioso. Este comportamento pode indicar que uma conta de utilizador foi comprometida e está a ser utilizada para atividades maliciosas e que um domínio malicioso com o certificado interno do AAD está registado na organização. |
High | T1078.001 | xdr_SignInUsingMaliciousCertificate |
Início de sessão suspeito na aplicação Microsoft Sentinel efetuada com Entra ID conta de sincronizaçãoDescrição: Uma conta de sincronização do Microsoft Entra ID Connect iniciou sessão num recurso Microsoft Sentinel de forma invulgar. Este comportamento pode indicar que uma conta de utilizador foi comprometida e está a ser utilizada para atividades maliciosas. |
Baixo | T1078.001 | xdr_SuspiciousMicrosoftSentinelAccessByEntraIdSyncAccount |
Ferramenta suspeita utilizada por uma conta do Microsoft Entra SyncDescrição: Foi detetada uma autenticação suspeita numa conta Microsoft Entra ID normalmente utilizada para operações de sincronização. Este comportamento pode indicar que uma conta de utilizador foi comprometida e um atacante está a utilizá-la para realizar atividades maliciosas. |
High | T1078.004 | xdr_SuspiciousToolSyncAccountSignIn |
Sincronizar o início de sessão de risco da conta numa aplicação invulgarDescrição: Uma conta de sincronização do Microsoft Entra ID Connect que iniciou sessão numa sessão de risco realizou atividades invulgares. Este comportamento pode indicar que uma conta de utilizador foi comprometida e está a ser utilizada para atividades maliciosas. |
High | T1078.001 | xdr_RiskyEntraIDSyncAccount |
Alertas de execução
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar executar código malicioso na sua organização.
| Nome do alerta de segurança | Gravidade | Técnica MITRE | ID do Detetor |
|---|---|---|---|
Instalação suspeita do serviço remotoDescrição: Foi detetada uma instalação de serviço suspeita. Este serviço foi criado para executar comandos potencialmente maliciosos. Um atacante pode estar a utilizar credenciais roubadas para tirar partido deste ataque. Isto também pode indicar que foi utilizado um ataque pass-the-hash. |
Média | T1569.002 | xdr_SuspiciousRemoteServiceInstallation |
Alertas de persistência
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar manter a sua posição de pé na sua organização.
| Nome do alerta de segurança | Gravidade | Técnica MITRE | ID do Detetor |
|---|---|---|---|
A aplicação OAuth criou um utilizadorDescrição: Uma nova conta de utilizador foi criada por uma aplicação OAuth. Um atacante pode ter comprometido esta aplicação por persistência na organização. |
Média | T1136.003 | xdr_OAuthAppCreatedAUser |
Okta privileged API token created (Token de API com privilégios okta criado)Descrição: {ActorAliasName} criou um token de API. Se for roubado, pode conceder ao atacante acesso com a permissão do utilizador. |
High | T1078.004 | xdr_OktaPrivilegedApiTokenCreated |
Token de API com privilégios okta atualizadoDescrição: O {ActorAliasName} atualizou uma Configuração de token de API Privilegiada para ser mais promíscua. Se for roubado, pode conceder ao atacante acesso com a permissão do utilizador. |
High | T1078.004 | xdr_OktaPrivilegedApiTokenUpdated |
Atividade de adulteração suspeita da MFA por conta de administradorDescrição: Uma conta de administrador realizou uma atividade de adulteração da autenticação multifator (MFA) após uma autenticação de risco. Um atacante pode ter comprometido uma conta de administrador para manipular as definições da MFA para uma possível atividade de movimento lateral. |
Baixo | T1556.006 | xdr_AdminAccountTakeover |
Criação de conta suspeitaDescrição: Uma nova conta de utilizador foi criada por uma aplicação OAuth comprometida. Os atacantes podem estar a preparar a nova conta de utilizador para utilização posterior como backdoor para se moverem lateralmente pela rede ou acederem aos dados. Este alerta foi acionado com base noutro alerta do Microsoft Cloud App Security relacionado com a aplicação OAuth comprometida. |
Média | T1136.003 | xdr_SuspiciousAccountCreation |
Adição suspeita de número de telefone alternativoDescrição: Foi adicionado um novo número de telefone alternativo para vários utilizadores de forma suspeita. Um atacante pode ter feito isto para obter persistência na organização. |
Média | T1556.006 | xdr_SuspiciousMFAAddition |
Adição suspeita de e-mailDescrição: Foi adicionado um novo e-mail para vários utilizadores de forma suspeita. Um atacante pode ter feito isto para obter persistência na organização. |
Média | T1556.006 | xdr_SuspiciousMFAAddition |
Alteração suspeita ao ID do grupo primárioDescrição: O ID de grupo principal de um utilizador foi modificado. Um atacante pode ter comprometido uma conta de utilizador e atribuído a um utilizador de backdoor permissões fortes no domínio para utilização posterior. |
Média | T1098 | xdr_SuspiciousChangeInUserPrimaryGroupId |
Modificação de ficheiro suspeitaDescrição: Um utilizador modificou um ficheiro de forma suspeita. |
Média | T1546.001 | xdr_SuspiciousCloudFileModification |
Convite de utilizador convidado suspeitoDescrição: Um novo utilizador convidado foi convidado e aceite de forma suspeita. Um atacante pode ter comprometido uma conta de utilizador na organização e está a utilizá-la para adicionar um utilizador não autorizado para fins de persistência. |
Média | T1136.003 | xdr_SuspiciousGuestUserInvitation |
Regra de caixa de entrada suspeitaDescrição: Um utilizador modificou ou criou uma regra de caixa de entrada neste dispositivo de forma suspeita. |
Média | T1114.003 | xdr_SuspiciousInboxRule |
O utilizador foi criado e atribuído a uma função confidencialDescrição: Um novo utilizador foi criado e atribuído a uma função confidencial. Um atacante pode ter comprometido a conta de utilizador para realizar persistência e movimento lateral. |
Média | T1136.003, T1098.003 | xdr_SuspiciousUserCreationAndSensitiveRoleAssignment |
Alertas de Escalamento de Privilégios
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar obter permissões de nível superior na sua organização.
| Nome do alerta de segurança | Gravidade | Técnica MITRE | ID do Detetor |
|---|---|---|---|
SPN suspeito foi adicionado a um utilizadorDescrição: Foi adicionado um nome de principal de serviço (SPN) suspeito a um utilizador confidencial. Um atacante pode estar a tentar obter acesso elevado para movimento lateral dentro da organização. |
High | T1098 | xdr_SuspiciousAdditionOfSpnToUser |
Exploração suspeita da inscrição de certificados que abusa do ESC15Descrição: Um certificado foi inscrito de forma suspeita. Um atacante pode estar a explorar uma vulnerabilidade (conhecida como ESC) para escalar privilégios na floresta. |
High | T1068 | xdr_SuspectedCertificateEnrollmentESC15 |
Alertas de Evasão de Defesa
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar fugir à deteção na sua organização.
| Nome do alerta de segurança | Gravidade | Técnica MITRE | ID do Detetor |
|---|---|---|---|
Negação de acesso suspeito para ver o ID do grupo primário de um objetoDescrição: Uma lista de controlo de acesso (ACL) negou o acesso para ver o ID de grupo primário de um objeto. Um atacante pode ter comprometido uma conta de utilizador e está a tentar ocultar o grupo de um utilizador de backdoor. |
Média | T1564.002 | xdr_SuspiciousDenyAccessToPrimaryGroupId |
Ligação de conta suspeitaDescrição: Uma conta foi associada através de uma ação administrativa entre inquilinos. A ação foi efetuada de forma suspeita que pode indicar que a conta pode ser utilizada numa tentativa de ignorar a MFA. |
Média | T1556 | xdr_SuspiciousAccountLink |
Alertas de Acesso a Credenciais
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar roubar nomes de conta e palavras-passe da sua organização.
| Nome do alerta de segurança | Gravidade | Técnica MITRE | ID do Detetor |
|---|---|---|---|
Assar AS-REPDescrição: Foram detetadas várias tentativas de início de sessão sem pré-autenticação. Este comportamento pode indicar um ataque de torrefação de Resposta do Servidor de Autenticação (AS-REP), que visa o protocolo de autenticação Kerberos, especificamente contas que desativaram a pré-autenticação. |
Média | T1558.004 | xdr_AsrepRoastingAttack |
Atividade HoneytokenDescrição: O utilizador honeytoken tentou iniciar sessão |
High | T1098 | xdr_HoneytokenSignInAttempt |
Ataque de reencaminhamento NEGOEXDescrição: Um atacante utilizou a NEGOEX para representar um servidor ao qual um cliente quer ligar para que o atacante possa, em seguida, reencaminhar o processo de autenticação para qualquer destino. Isto permite que o atacante obtenha acesso ao destino. O NEGOEX é um protocolo de autenticação concebido para autenticar contas de utilizador para Microsoft Entra dispositivos associados. |
High | T1187, T1557.001 | xdr_NegoexRelayAttack |
Função com privilégios okta atribuída à aplicaçãoDescrição: {ActorAliasName} atribuiu a função {RoleDisplayName} à aplicação: {ApplicationDisplayName} |
High | T1003.006 | xdr_OktaPrivilegedRoleAssignedToApplication |
Possível ataque de torrefação AS-REPDescrição: Foi feito um pedido de autenticação Kerberos suspeito para contas que não necessitam de pré-autenticação. Um atacante pode estar a realizar um ataque de torrefação AS-REP para roubar palavras-passe e obter acesso adicional à rede. |
Média | T1558.004 | xdr_AsrepRoastingAttack |
Possível ataque SAML DouradoDescrição: Uma conta de utilizador privilegiada autenticada com características que podem estar relacionadas com um ataque SAML Dourado. |
High | T1071, T1606.002 | xdr_PossibleGoldenSamlAttack |
Possível ataque NetSyncDescrição: O NetSync é um módulo no Mimikatz, uma ferramenta de pós-exploração, que pede o hash de palavra-passe de uma palavra-passe de um dispositivo de destino fingindo ser um controlador de domínio. Um atacante pode estar a realizar atividades maliciosas dentro da rede através desta funcionalidade para obter acesso aos recursos da organização. |
High | T1003.006 | xdr_PossibleNetsyncAttack |
Possível fuga de segredo da contaDescrição: Foi detetada uma tentativa falhada de iniciar sessão numa conta de utilizador através de uma ferramenta de recheio de credenciais. O código de erro indica que o segredo foi válido, mas utilizado indevidamente. As credenciais da conta de utilizador podem ter sido divulgadas ou estar na posse de uma parte não autorizada. |
Média | T1078 | xdr_CredentialStuffingToolObserved |
Possível ataque de bilhete douradoDescrição: Foi observado um pedido de serviço de concessão de permissão Kerberos (TGS) suspeito. Um atacante pode estar a utilizar credenciais roubadas da conta KRBTGT para tentar um ataque de permissão dourada. |
High | T1558, T1558.001 | xdr_PossibleGoldenTicketAttacks |
Possível ataque de bilhete dourado (exploração CVE-2021-42287)Descrição: Foi observado um pedido de suporte de permissão (TGT) Kerberos suspeito que contém um Certificado de Atributo de Privilégio Kerberos (PAC) anómalo. Um atacante pode estar a utilizar credenciais roubadas da conta KRBTGT para tentar um ataque de permissão dourada. |
High | T1558, T1558.001 | xdr_PossibleGoldenTicketAttack_SuspiciousPac |
Possível ataque overpass-the-hashDescrição: Foi detetado um possível ataque overpass-the-hash. Neste tipo de ataque, um atacante utiliza o hash NT de uma conta de utilizador ou outras chaves Kerberos para obter permissões Kerberos, o que permite o acesso não autorizado aos recursos de rede. |
High | T1003.006 | xdr_PossibleOverPassTheHash |
Possível fuga de segredo da conta do principal de serviçoDescrição: Foi detetada uma tentativa falhada de iniciar sessão numa conta do principal de serviço através de uma ferramenta de recheio de credenciais. O código de erro indica que o segredo foi válido, mas utilizado indevidamente. As credenciais da conta do principal de serviço podem ter sido divulgadas ou estar na posse de uma parte não autorizada. |
Média | T1078 | xdr_CredentialStuffingToolObserved |
Conta do principal de serviço possivelmente comprometida com sessão iniciadaDescrição: Uma conta de principal de serviço possivelmente comprometida com sessão iniciada. Uma tentativa de recheio de credenciais foi autenticada com êxito, o que indica que as credenciais da conta do principal de serviço podem ter sido divulgadas ou estão na posse de uma parte não autorizada. |
Média | T1078 | xdr_CredentialStuffingToolObserved |
Conta de utilizador possivelmente comprometida com sessão iniciadaDescrição: Uma conta de utilizador possivelmente comprometida com sessão iniciada. Uma tentativa de recheio de credenciais foi autenticada com êxito, indicando que as credenciais da conta de utilizador podem ter sido divulgadas ou estarem na posse de uma parte não autorizada. |
Média | T1078 | xdr_CredentialStuffingToolObserved |
Atividade relacionada com DMSA suspeita detetadaDescrição: Foi detetada uma atividade suspeita relacionada com a DMSA. Isto pode indicar uma conta gerida comprometida ou uma tentativa de explorar uma conta DMSA. |
High | T1555 | xdr_SuspiciousDmsaAction |
Atividade relacionada com gMSA Golden suspeitaDescrição: Foi efetuada uma atividade de leitura suspeita para objetos confidenciais da Conta de Serviço Gerida (gMSA), que podem estar associados a um ator de ameaças que tenta tirar partido do ataque gMSA Dourado. |
High | T1555 | xdr_SuspiciousGoldenGmsaActivity |
Autenticação Kerberos suspeita (AP-REQ)Descrição: Foi detetado um pedido de aplicação Kerberos suspeito (AP-REQ). Um atacante pode estar a utilizar credenciais roubadas de uma conta de serviço para tentar um ataque de pedido de suporte prateado. Neste tipo de ataque, um atacante falsifica uma permissão de serviço (Serviço de Concessão de Permissão ou TGS) para um serviço específico numa rede, o que permite ao atacante aceder a esse serviço sem ter de interagir com o controlador de domínio após o compromisso inicial. |
High | T1558, T1558.002 | xdr_SuspiciousKerberosApReq |
Autenticação Kerberos suspeita (AS-REQ)Descrição: Foi observado um pedido de autenticação Kerberos suspeito (AS-REQ) para uma permissão de concessão de permissão (TGT). Suspeita-se que este pedido de TGT anómalo tenha sido especialmente elaborado por um atacante. O atacante pode estar a utilizar credenciais roubadas para tirar partido deste ataque. |
Média | T1550, T1558 | xdr_SusKerberosAuth_AsReq |
Autenticação Kerberos suspeita (pedido TGT com TGS-REQ)Descrição: Foi observado um pedido de serviço de concessão de permissões Kerberos (TGS-REQ) suspeito que envolve a extensão Service for User to Self (S4U2self). Suspeita-se que este pedido anómalo do TGS tenha sido especialmente elaborado por um atacante. |
Média | T1550, T1558 | xdr_SusKerberosAuth_S4U2selfTgsReq |
Criação suspeita do grupo ESXiDescrição: Foi criado um grupo VMware ESXi suspeito no domínio. Isto pode indicar que um atacante está a tentar obter mais permissões para passos posteriores num ataque. |
High | T1098 | xdr_SuspiciousUserAdditionToEsxGroup |
Alertas de deteção
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar recolher informações sobre a sua organização.
| Nome do alerta de segurança | Gravidade | Técnica MITRE | ID do Detetor |
|---|---|---|---|
Principal de serviço de sincronização okta enumeradoDescrição: Foi detetada uma enumeração LDAP (Lightweight Directory Access Protocol) suspeita para localizar a conta do serviço de sincronização Okta. Este comportamento pode indicar que uma conta de utilizador foi comprometida e um atacante está a utilizá-la para realizar atividades maliciosas. |
High | T1087.002 | xdr_OktaSyncServicePrincipalEnumeration |
Reconhecimento relacionado com atributo LDAP confidencialDescrição: Foram detetadas atividades de reconhecimento relacionadas com atributos LDAP (Lightweight Directory Access Protocol) confidenciais neste dispositivo. Um atacante pode ter comprometido uma conta de utilizador e está à procura de informações para utilização nos próximos passos. |
Média | T1087.002 | xdr_LdapSensitiveAttributeRecon |
Consulta LDAP suspeitaDescrição: Foi detetada uma consulta LDAP (Lightweight Directory Access Protocol) suspeita associada a uma ferramenta de ataque conhecida. Um atacante pode estar a realizar o reconhecimento para passos posteriores. |
High | T1087.002 | xdr_SuspiciousLdapQuery |
Alertas de Movimento Lateral
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar mover-se entre recursos ou identidades na sua organização.
| Nome do alerta de segurança | Gravidade | Técnica MITRE | ID do Detetor |
|---|---|---|---|
Possível desa ignorar o silo de autenticaçãoDescrição: Foi detetada uma possível tentativa de ignorar políticas de silo de autenticação e autenticar-se num serviço protegido por silo neste dispositivo. |
High | T1550 | xdr_PossibleAuthenticationSiloBypass |
Possível obtenção de uma conta SSO Microsoft Entra totalmente integradaDescrição: Um Microsoft Entra objeto de conta SSO (início de sessão único) totalmente integrado, AZUREADSSOACC, foi modificado de forma suspeita. Um atacante pode estar a mover-se lateralmente do ambiente no local para a cloud. |
High | T1556 | xdr_SuspectedAzureSsoAccountTakeover |
Atividade suspeita após a sincronização de palavras-passeDescrição: Um utilizador efetuou uma ação invulgar numa aplicação após uma sincronização recente de palavras-passe. Um atacante pode ter comprometido a conta de um utilizador para realizar atividades maliciosas na organização. |
Média | T1021.007 | xdr_SuspiciousActivityAfterPasswordSync |
Alertas de coleção
Esta secção descreve alertas que indicam que um ator malicioso pode estar a tentar recolher dados de interesse para o objetivo da sua organização.
| Nome do alerta de segurança | Gravidade | Técnica MITRE | ID do Detetor |
|---|---|---|---|
Possível roubo de sessão oktaDescrição: Foi iniciada uma nova ligação com um cookie de sessão Okta possivelmente roubado. Um atacante pode ter roubado um cookie de sessão e está agora a utilizá-lo para efetuar uma ação maliciosa. |
High | T1539 | xdr_PossibleOktaSessionTheft |