Podezření na injektáž historie identifikátorů SID |
1106 |
Vysoká |
Elevace oprávnění |
Podezřelý útok overpass-the-hash (Kerberos) |
2002 |
Střední |
Laterální pohyb |
Rekognoskace účtů |
2003 |
Střední |
Zjišťování |
Podezřelý útok hrubou silou (LDAP) |
2004 |
Střední |
Přístup k přihlašovacím údajům |
Podezřelý útok DCSync (replikace adresářových služeb) |
2006 |
Vysoká |
Přístup k přihlašovacím údajům, trvalost |
Rekognoskace mapování sítě (DNS) |
2007 |
Střední |
Zjišťování |
Podezření na útok over-pass-the-hash (typ vynuceného šifrování) |
2008 |
Střední |
Laterální pohyb |
Podezřelé použití zlatého lístku (downgrade šifrování) |
2009 |
Střední |
Trvalost, eskalace oprávnění, laterální pohyb |
Podezřelý útok skeleton key (downgrade šifrování) |
2010 |
Střední |
Trvalost, laterální pohyb |
Rekognoskace uživatelů a IP adres (SMB) |
2012 |
Střední |
Zjišťování |
Podezření na použití zlatého lístku (zkopírovaná autorizační data) |
2013 |
Vysoká |
Přístup k přihlašovacím údajům |
Aktivita ověřování Honeytokenu |
2014 |
Střední |
Přístup k přihlašovacím údajům, zjišťování |
Podezření na krádež identity (pass-the-hash) |
2017 |
Vysoká |
Laterální pohyb |
Podezření na krádež identity (pass-the-ticket) |
2018 |
Vysoká nebo střední |
Laterální pohyb |
Pokus o vzdálené spuštění kódu |
2019 |
Střední |
Výkon, Trvalost, Eskalace oprávnění, Únik obrany, Laterální pohyb |
Škodlivý požadavek hlavního klíče rozhraní DATA Protection API |
2020 |
Vysoká |
Přístup k přihlašovacím údajům |
Rekognoskace členství uživatelů a skupin (SAMR) |
2021 |
Střední |
Zjišťování |
Podezření na využití zlatého lístku (časová anomálie) |
2022 |
Vysoká |
Trvalost, eskalace oprávnění, laterální pohyb |
Podezřelý útok hrubou silou (Kerberos, NTLM) |
2023 |
Střední |
Přístup k přihlašovacím údajům |
Podezřelé dodatky k citlivým skupinám |
2024 |
Střední |
Trvalost, přístup k přihlašovacím údajům, |
Podezřelé připojení VPN |
2025 |
Střední |
Obrana před únikem, trvalost |
Vytvoření podezřelé služby |
2026 |
Střední |
Výkon, trvalost, eskalace oprávnění, únik obrany, laterální pohyb |
Podezřelé využití zlatého lístku (neexistující účet) |
2027 |
Vysoká |
Trvalost, eskalace oprávnění, laterální pohyb |
Podezřelý útok DCShadow (povýšení řadiče domény) |
2028 |
Vysoká |
Obrana před únikem |
Podezřelý útok DCShadow (žádost o replikaci řadiče domény) |
2029 |
Vysoká |
Obrana před únikem |
Exfiltrace dat přes protokol SMB |
2030 |
Vysoká |
Exfiltrace, laterální pohyb, příkaz a řízení |
Podezřelá komunikace přes DNS |
2031 |
Střední |
Exfiltrace |
Podezřelé využití zlatého lístku (anomálie lístku) |
2032 |
Vysoká |
Trvalost, eskalace oprávnění, laterální pohyb |
Podezřelý útok hrubou silou (SMB) |
2033 |
Střední |
Laterální pohyb |
Podezření na použití architektury hackingu Metasploit |
2034 |
Střední |
Laterální pohyb |
Podezřelý útok WannaCry ransomware |
2035 |
Střední |
Laterální pohyb |
Vzdálené spuštění kódu přes DNS |
2036 |
Střední |
Laterální pohyb, eskalace oprávnění |
Podezření na útok ntLM relay |
2037 |
Střední nebo nízká při použití podepsaného protokolu NTLM v2 |
Laterální pohyb, eskalace oprávnění |
Rekognoskace objektu zabezpečení (LDAP) |
2038 |
Střední |
Přístup k přihlašovacím údajům |
Podezření na manipulaci s ověřováním NTLM |
2039 |
Střední |
Laterální pohyb, eskalace oprávnění |
Podezřelé využití zlatého lístku (anomálie lístku s využitím RBCD) |
2040 |
Vysoká |
Uchování |
Podezření na použití neautorně šitých certifikátů Kerberos |
2047 |
Vysoká |
Laterální pohyb |
Podezřelý pokus o delegování Kerberos pomocí metody BronzeBit (CVE-2020-17049 zneužití) |
2048 |
Střední |
Přístup k přihlašovacím údajům |
Rekognoskace atributů služby Active Directory (LDAP) |
2210 |
Střední |
Zjišťování |
Podezřelá manipulace s pakety SMB (zneužití CVE-2020-0796) |
2406 |
Vysoká |
Laterální pohyb |
Podezření na vystavení SPN protokolu Kerberos |
2410 |
Vysoká |
Přístup k přihlašovacím údajům |
Podezření na pokus o zvýšení oprávnění Netlogonu (CVE-2020-1472 zneužití) |
2411 |
Vysoká |
Elevace oprávnění |
Podezření na útok AS-REP Roasting |
2412 |
Vysoká |
Přístup k přihlašovacím údajům |
Podezření na čtení klíče DKM služby AD FS |
2413 |
Vysoká |
Přístup k přihlašovacím údajům |
Vzdálené spuštění kódu serveru Exchange Server (CVE-2021-26855) |
2414 |
Vysoká |
Laterální pohyb |
Podezřelý pokus o zneužití ve službě zařazování tisku systému Windows |
2415 |
Vysoká nebo střední |
Laterální pohyb |
Podezřelé síťové připojení přes protokol Encrypting File System Remote Protocol |
2416 |
Vysoká nebo střední |
Laterální pohyb |
Podezření na podezřelou žádost o lístek Kerberos |
2418 |
Vysoká |
Přístup k přihlašovacím údajům |
Podezřelá změna atributu sAMNameAccount (zneužití CVE-2021-42278 a CVE-2021-42287) |
2419 |
Vysoká |
Přístup k přihlašovacím údajům |
Podezřelá změna vztahu důvěryhodnosti serveru SLUŽBY AD FS |
2420 |
Střední |
Elevace oprávnění |
Podezřelá změna atributu dNSHostName (CVE-2022-26923) |
2421 |
Vysoká |
Elevace oprávnění |
Podezřelý pokus o delegování kerberos nově vytvořeným počítačem |
2422 |
Vysoká |
Elevace oprávnění |
Podezřelá změna atributu omezeného delegování na základě prostředků účtem počítače |
2423 |
Vysoká |
Elevace oprávnění |
Neobvyklé ověřování Active Directory Federation Services (AD FS) (AD FS) pomocí podezřelého certifikátu |
2424 |
Vysoká |
Přístup k přihlašovacím údajům |
Podezřelé využití certifikátů přes protokol Kerberos (PKINIT) |
2425 |
Vysoká |
Laterální pohyb |
Podezření na útok DFSCoerce pomocí protokolu distribuovaného systému souborů |
2426 |
Vysoká |
Přístup k přihlašovacím údajům |
Změněné atributy uživatele Honeytokenu |
2427 |
Vysoká |
Uchování |
Změnilo se členství ve skupině Honeytoken |
2428 |
Vysoká |
Uchování |
Honeytoken byl dotazován přes LDAP. |
2429 |
Nízká |
Zjišťování |
Podezřelá změna domény Správa SdHolder |
2430 |
Vysoká |
Uchování |
Podezřelé převzetí účtu pomocí stínových přihlašovacích údajů |
2431 |
Vysoká |
Přístup k přihlašovacím údajům |
Podezřelá žádost o certifikát řadiče domény (ESC8) |
2432 |
Vysoká |
Eskalace oprávnění |
Podezřelé odstranění položek databáze certifikátů |
2433 |
Střední |
Obrana před únikem |
Podezřelé zakázání filtrů auditu služby AD CS |
2434 |
Střední |
Obrana před únikem |
Podezřelé změny oprávnění a nastavení zabezpečení služby AD CS |
2435 |
Střední |
Eskalace oprávnění |
Rekognoskace účtů (LDAP) (Preview) |
2437 |
Střední |
Zjišťování účtů, účet domény |
Změna hesla v režimu obnovení adresářových služeb |
2438 |
Střední |
Trvalost, manipulace s účtem |
Honeytoken se dotazoval přes SAM-R. |
2439 |
Nízká |
Zjišťování |
Manipulace se zásadami skupiny |
2440 |
Střední |
Obrana před únikem |