حقن SID-History مشتبه به |
1106 |
عال |
تصعيد الامتياز |
يشتبه في هجوم overpass-the-hash (Kerberos) |
2002 |
متوسط |
الحركة الجانبية |
استطلاع تعداد الحساب |
2003 |
متوسط |
اكتشاف |
هجوم مشتبه به للقوة الغاشمة (LDAP) |
2004 |
متوسط |
الوصول إلى بيانات الاعتماد |
هجوم DCSync المشتبه به (النسخ المتماثل لخدمات الدليل) |
2006 |
عال |
الوصول إلى بيانات الاعتماد، الثبات |
استطلاع تعيين الشبكة (DNS) |
2007 |
متوسط |
اكتشاف |
يشتبه في تجاوز هجوم التجزئة (نوع التشفير القسري) |
2008 |
متوسط |
الحركة الجانبية |
الاستخدام المشتبه به للتذكرة الذهبية (الرجوع إلى إصدار أقدم للتشفير) |
2009 |
متوسط |
المثابرة، تصعيد الامتياز، الحركة الجانبية |
هجوم مفتاح الهيكل العظمي المشتبه به (إصدار أقدم للتشفير) |
2010 |
متوسط |
المثابرة، الحركة الجانبية |
استكشاف عنوان IP والمستخدم (SMB) |
2012 |
متوسط |
اكتشاف |
يشتبه في استخدام البطاقة الذهبية (بيانات التخويل المزورة) |
2013 |
عال |
الوصول إلى بيانات الاعتماد |
نشاط مصادقة الرمز المميز للعسل |
2014 |
متوسط |
الوصول إلى بيانات الاعتماد، الاكتشاف |
سرقة الهوية المشتبه بها (تمرير التجزئة) |
2017 |
عال |
الحركة الجانبية |
سرقة الهوية المشتبه بها (تمرير البطاقة) |
2018 |
مرتفع أو متوسط |
الحركة الجانبية |
محاولة تنفيذ التعليمات البرمجية عن بعد |
2019 |
متوسط |
التنفيذ، المثابرة، تصعيد الامتياز، التهرب الدفاعي، الحركة الجانبية |
طلب ضار للمفتاح الرئيسي لواجهة برمجة تطبيقات حماية البيانات |
2020 |
عال |
الوصول إلى بيانات الاعتماد |
استطلاع عضوية المستخدم والمجموعة (SAMR) |
2021 |
متوسط |
اكتشاف |
يشتبه في استخدام البطاقة الذهبية (شذوذ الوقت) |
2022 |
عال |
المثابرة، تصعيد الامتياز، الحركة الجانبية |
هجوم مشتبه به للقوة الغاشمة (Kerberos، NTLM) |
2023 |
متوسط |
الوصول إلى بيانات الاعتماد |
الإضافات المشبوهة للمجموعات الحساسة |
2024 |
متوسط |
الثبات، الوصول إلى بيانات الاعتماد، |
اتصال VPN مريب |
2025 |
متوسط |
التهرب الدفاعي، المثابرة |
إنشاء خدمة مشبوهة |
2026 |
متوسط |
التنفيذ، والمثابرة، وتصعيد الامتياز، والتهرب الدفاعي، والحركة الجانبية |
يشتبه في استخدام البطاقة الذهبية (حساب غير موجود) |
2027 |
عال |
المثابرة، تصعيد الامتياز، الحركة الجانبية |
هجوم DCShadow المشتبه به (ترقية وحدة التحكم بالمجال) |
2028 |
عال |
التهرب الدفاعي |
هجوم DCShadow المشتبه به (طلب النسخ المتماثل لوحدة التحكم بالمجال) |
2029 |
عال |
التهرب الدفاعي |
النقل غير المصرح للبيانات عبر SMB |
2030 |
عال |
النقل غير المصرح به والحركة الجانبية والأمر والتحكم |
اتصال مشبوه عبر DNS |
2031 |
متوسط |
النقل غير المصرح به |
الاستخدام المشتبه به للتذكرة الذهبية (حالة شاذة للتذكرة) |
2032 |
عال |
المثابرة، تصعيد الامتياز، الحركة الجانبية |
هجوم مشتبه به للقوة الغاشمة (SMB) |
2033 |
متوسط |
الحركة الجانبية |
الاستخدام المشتبه به لإطار عمل اختراق Metasploit |
2034 |
متوسط |
الحركة الجانبية |
يشتبه في هجوم برامج الفدية الضارة WannaCry |
2035 |
متوسط |
الحركة الجانبية |
تنفيذ التعليمات البرمجية عن بعد عبر DNS |
2036 |
متوسط |
الحركة الجانبية، تصعيد الامتياز |
هجوم ترحيل NTLM المشتبه به |
2037 |
متوسط أو منخفض إذا تمت ملاحظته باستخدام بروتوكول NTLM v2 الموقع |
الحركة الجانبية، تصعيد الامتياز |
الاستطلاع الأساسي للأمان (LDAP) |
2038 |
عالية (في حالة حدوث مشكلات في الحلول أو تم الكشف عن أداة محددة) ومتوسطة |
الوصول إلى بيانات الاعتماد |
العبث بمصادقة NTLM المشتبه به |
2039 |
متوسط |
الحركة الجانبية، تصعيد الامتياز |
يشتبه في استخدام البطاقة الذهبية (مخالفة تذكرة باستخدام RBCD) |
2040 |
عال |
استمرار |
يشتبه في استخدام شهادة Kerberos المارقة |
2047 |
عال |
الحركة الجانبية |
محاولة تفويض Kerberos المشبوهة باستخدام أسلوب BronzeBit (استغلال CVE-2020-17049) |
2048 |
متوسط |
الوصول إلى بيانات الاعتماد |
استكشاف سمات Active Directory (LDAP) |
2210 |
متوسط |
اكتشاف |
معالجة حزمة SMB المشتبه بها (استغلال CVE-2020-0796) |
2406 |
عال |
الحركة الجانبية |
يشتبه في تعرض Kerberos SPN |
2410 |
عال |
الوصول إلى بيانات الاعتماد |
محاولة رفع امتيازات Netlogon المشتبه بها (استغلال CVE-2020-1472) |
2411 |
عال |
تصعيد الامتياز |
يشتبه في هجوم التحميص AS-REP |
2412 |
عال |
الوصول إلى بيانات الاعتماد |
قراءة مفتاح AD FS DKM المشتبه به |
2413 |
عال |
الوصول إلى بيانات الاعتماد |
Exchange Server تنفيذ التعليمات البرمجية عن بعد (CVE-2021-26855) |
2414 |
عال |
الحركة الجانبية |
محاولة الاستغلال المشتبه بها على خدمة Windows Print Spooler |
2415 |
مرتفع أو متوسط |
الحركة الجانبية |
اتصال شبكة مشبوه عبر بروتوكول تشفير نظام الملفات البعيد |
2416 |
مرتفع أو متوسط |
الحركة الجانبية |
طلب تذكرة Kerberos المشتبه به |
2418 |
عال |
الوصول إلى بيانات الاعتماد |
تعديل مشبوه لسمة sAMNameAccount (استغلال CVE-2021-42278 وCVE-2021-42287) |
2419 |
عال |
الوصول إلى بيانات الاعتماد |
تعديل مشبوه لعلاقة الثقة لخادم AD FS |
2420 |
متوسط |
تصعيد الامتياز |
تعديل مشبوه لسمة dNSHostName (CVE-2022-26923) |
2421 |
عال |
تصعيد الامتياز |
محاولة تفويض Kerberos المشبوهة بواسطة كمبيوتر تم إنشاؤه حديثا |
2422 |
عال |
تصعيد الامتياز |
تعديل مريب لسمة التفويض المقيد المستند إلى الموارد بواسطة حساب جهاز |
2423 |
عال |
تصعيد الامتياز |
مصادقة خدمات الأمان المشترك لـ Active Directory غير طبيعية (AD FS) باستخدام شهادة مريبة |
2424 |
عال |
الوصول إلى بيانات الاعتماد |
استخدام الشهادة المشبوهة عبر بروتوكول Kerberos (PKINIT) |
2425 |
عال |
الحركة الجانبية |
هجوم DFSCoerce المشتبه به باستخدام بروتوكول نظام الملفات الموزعة |
2426 |
عال |
الوصول إلى بيانات الاعتماد |
تم تعديل سمات مستخدم الرمز المميز للعسل |
2427 |
عال |
استمرار |
تم تغيير عضوية مجموعة الرمز المميز للعسل |
2428 |
عال |
استمرار |
تم الاستعلام عن الرمز المميز للعسل عبر LDAP |
2429 |
منخفض |
اكتشاف |
تعديل مشبوه للمجال AdminSdHolder |
2430 |
عال |
استمرار |
استيلاء الحساب المشتبه به باستخدام بيانات اعتماد الظل |
2431 |
عال |
الوصول إلى بيانات الاعتماد |
طلب شهادة وحدة تحكم المجال المشبوهة (ESC8) |
2432 |
عال |
تصعيد الامتياز |
الحذف المشبوه لإدخالات قاعدة بيانات الشهادة |
2433 |
متوسط |
التهرب الدفاعي |
تعطيل مشبوه لعوامل تصفية التدقيق ل AD CS |
2434 |
متوسط |
التهرب الدفاعي |
التعديلات المشبوهة على أذونات/إعدادات أمان AD CS |
2435 |
متوسط |
تصعيد الامتياز |
استكشاف تعداد الحساب (LDAP) ( معاينة) |
2437 |
متوسط |
اكتشاف الحساب، حساب المجال |
تغيير كلمة مرور وضع استعادة خدمات الدليل |
2438 |
متوسط |
الاستمرارية، معالجة الحساب |
تم الاستعلام عن الرمز المميز للعسل عبر SAM-R |
2439 |
منخفض |
اكتشاف |
العبث نهج المجموعة |
2440 |
متوسط |
التهرب الدفاعي |