KillChainIntent type
يحدد قيم KillChainIntent.
يمكن استخدام KnownKillChainIntent بالتبادل مع KillChainIntent، ويحتوي هذا التعداد على القيم المعروفة التي تدعمها الخدمة.
القيم المعروفة التي تدعمها الخدمة
غير معروف: القيمة الافتراضية.
الفحص: يمكن أن يكون التحقيق محاولة للوصول إلى مورد معين بغض النظر عن نية ضارة أو محاولة فاشلة للوصول إلى نظام مستهدف لجمع المعلومات قبل الاستغلال. عادة ما يتم اكتشاف هذه الخطوة كمحاولة تنشأ من خارج الشبكة في محاولة لفحص النظام المستهدف وإيجاد طريقة للدخول.
الاستغلال: الاستغلال هو المرحلة التي يتمكن فيها المهاجم من الحصول على موطئ قدم على المورد المهاجم. هذه المرحلة قابلة للتطبيق ليس فقط على مضيفي الحوسبة ، ولكن أيضا على الموارد مثل حسابات المستخدمين والشهادات وما إلى ذلك. غالبا ما يكون الخصوم قادرين على التحكم في المورد بعد هذه المرحلة.
المثابرة: المثابرة هي أي وصول أو إجراء أو تغيير في التكوين إلى نظام يمنح الخصم وجودا مستمرا على هذا النظام. غالبا ما يحتاج الخصوم إلى الحفاظ على الوصول إلى الأنظمة من خلال الانقطاعات مثل إعادة تشغيل النظام أو فقدان بيانات الاعتماد أو غيرها من حالات الفشل التي تتطلب أداة وصول عن بعد لإعادة التشغيل أو الباب الخلفي البديل لاستعادة الوصول.
PrivilegeEscalation: تصعيد الامتياز هو نتيجة الإجراءات التي تسمح للخصم بالحصول على مستوى أعلى من الأذونات على نظام أو شبكة. تتطلب بعض الأدوات أو الإجراءات مستوى أعلى من الامتياز للعمل، ومن المرجح أن تكون ضرورية في العديد من النقاط خلال العملية. يمكن أيضا اعتبار حسابات المستخدمين الذين لديهم أذونات للوصول إلى أنظمة محددة أو أداء وظائف محددة ضرورية للخصوم لتحقيق هدفهم تصعيدا للامتيازات.
الدفاع: التهرب الدفاعي يتكون من تقنيات قد يستخدمها الخصم للتهرب من الكشف أو تجنب الدفاعات الأخرى. في بعض الأحيان تكون هذه الإجراءات هي نفسها أو أشكال مختلفة من التقنيات في فئات أخرى لها فائدة إضافية تتمثل في تخريب دفاع معين أو تخفيف الضرر.
CredentialAccess: يمثل الوصول إلى بيانات الاعتماد تقنيات تؤدي إلى الوصول إلى بيانات اعتماد النظام أو المجال أو الخدمة المستخدمة داخل بيئة المؤسسة أو التحكم فيها. سيحاول الخصوم على الأرجح الحصول على بيانات اعتماد شرعية من حسابات المستخدمين أو المسؤول (مسؤول النظام المحلي أو مستخدمي المجال الذين يملكون حق وصول المسؤول) لاستخدامها داخل الشبكة. مع وصول كاف داخل الشبكة، يمكن للخصم إنشاء حسابات لاستخدامها في وقت لاحق داخل البيئة.
Discovery: يتكون الاكتشاف من تقنيات تسمح للخصم باكتساب المعرفة حول النظام والشبكة الداخلية. وعندما يتمكن الخصوم من الوصول إلى نظام جديد، يجب عليهم أن يوجهوا أنفسهم إلى ما يسيطرون عليه الآن وما هي الفوائد التي يحققها التشغيل من ذلك النظام لهدفهم الحالي أو أهدافهم العامة أثناء الاقتحام. يوفر نظام التشغيل العديد من الأدوات الأصلية التي تساعد في مرحلة جمع المعلومات بعد التسوية.
LateralMovement: تتكون الحركة الجانبية من تقنيات تمكن الخصم من الوصول إلى الأنظمة البعيدة والتحكم فيها على الشبكة ويمكن أن تتضمن، ولكن ليس بالضرورة، تنفيذ الأدوات على الأنظمة البعيدة. يمكن أن تسمح تقنيات الحركة الجانبية للخصم بجمع المعلومات من النظام دون الحاجة إلى أدوات إضافية ، مثل أداة الوصول عن بعد. يمكن للخصم استخدام الحركة الجانبية لأغراض عديدة ، بما في ذلك تنفيذ الأدوات عن بعد ، أو التحول إلى أنظمة إضافية ، أو الوصول إلى معلومات أو ملفات محددة ، أو الوصول إلى بيانات اعتماد إضافية ، أو لإحداث تأثير.
تنفيذ: يمثل تكتيك التنفيذ التقنيات التي تؤدي إلى تنفيذ التعليمات البرمجية التي يتحكم فيها المتطفل على نظام محلي أو بعيد. وغالبًا ما يستخدم هذا التكتيك بالاقتران مع الحركة الجانبية لتوسيع نطاق الوصول إلى الأنظمة البعيدة على الشبكة.
Collection: تتكون المجموعة من تقنيات تستخدم لتحديد المعلومات وجمعها، مثل الملفات الحساسة، من شبكة مستهدفة قبل النقل غير المصرح به. تغطي هذه الفئة أيضا المواقع على نظام أو شبكة حيث قد يبحث المتطفل عن معلومات لتهريبها.
النقل غير المصرح به: يشير الاختراق إلى التقنيات والسمات التي تؤدي إلى إزالة الملفات والمعلومات من شبكة مستهدفة أو تساعد في إزالة الخصم للملفات والمعلومات. تغطي هذه الفئة أيضا المواقع على نظام أو شبكة حيث قد يبحث المتطفل عن معلومات لتهريبها.
CommandAndControl: يمثل تكتيك الأوامر والتحكم كيفية تواصل الخصوم مع الأنظمة الخاضعة لسيطرتهم داخل شبكة مستهدفة.
التأثير: الهدف الأساسي لغرض التأثير هو تقليل توفر أو تكامل نظام أو خدمة أو شبكة بشكل مباشر؛ بما في ذلك التلاعب بالبيانات للتأثير على عملية تجارية أو تشغيلية. غالبا ما يشير هذا إلى تقنيات مثل برامج الفدية والتشويه والتلاعب بالبيانات وغيرها.
type KillChainIntent = string
