KillChainIntent type
Definuje hodnoty pro KillChainIntent.
KnownKillChainIntent lze použít zaměnitelně s KillChainIntent, tento výčet obsahuje známé hodnoty, které služba podporuje.
Známé hodnoty podporované službou
Neznámý: Výchozí hodnota.
Sondování: Sondování může být pokus o přístup k určitému zdroji bez ohledu na škodlivý záměr nebo neúspěšný pokus o získání přístupu k cílovému systému za účelem shromažďování informací před zneužitím. Tento krok se obvykle zjistí jako pokus o vyhledání cílového systému a vyhledání způsobu, jakým se pokoušíte zkontrolovat cílový systém.
Zneužití: Zneužití je fáze, kdy se útočníkovi podaří získat oporu v napadeném zdroji. Tato fáze platí nejen pro výpočetní hostitele, ale také pro prostředky, jako jsou uživatelské účty, certifikáty atd. Nežádoucí uživatelé budou moct po této fázi často řídit prostředek.
Trvalost: Trvalost je jakýkoli přístup, akce nebo změna konfigurace systému, která poskytuje nežádoucímu uživateli trvalou přítomnost v tomto systému. Nežádoucí uživatelé budou často muset udržovat přístup k systémům prostřednictvím přerušení, jako jsou restartování systému, ztráta přihlašovacích údajů nebo jiná selhání, která by vyžadovala, aby nástroj pro vzdálený přístup restartoval nebo alternativní zadní vrátka, aby znovu získal přístup.
PrivilegeEscalation: Eskalace oprávnění je výsledkem akcí, které nežádoucímu uživateli umožňují získat vyšší úroveň oprávnění v systému nebo síti. Některé nástroje nebo akce vyžadují vyšší úroveň oprávnění pro práci a jsou pravděpodobně nezbytné v mnoha bodech celé operace. Uživatelské účty s oprávněními pro přístup ke konkrétním systémům nebo provádění konkrétních funkcí nezbytných k dosažení jejich cíle mohou být také považovány za eskalaci oprávnění.
DefenseEvasion: Úniky proti obraně se skládají z technik, které může nežádoucí osoba použít k tomu, aby se zabránilo detekci nebo zabránění jiným obranám. Někdy jsou tyto akce stejné jako nebo varianty technik v jiných kategoriích, které mají přidanou výhodu převrácení konkrétní obrany nebo zmírnění rizik.
přihlašovací údaje CredentialAccess: Přístup k přihlašovacím údajům představuje techniky, které vedou k přístupu k systému, doméně nebo službě nebo k jejich řízení, které se používají v podnikovém prostředí. Nežádoucí uživatelé se pravděpodobně pokusí získat legitimní přihlašovací údaje od uživatelů nebo účtů správců (místní správce systému nebo uživatelé domény s přístupem správce) pro použití v síti. S dostatečným přístupem v rámci sítě může nežádoucí osoba vytvářet účty pro pozdější použití v rámci prostředí.
zjišťování: Zjišťování se skládá z technik, které nežádoucímu uživateli umožňují získat znalosti o systému a interní síti. Když nežádoucí osoba získá přístup k novému systému, musí se orientovat na to, co teď mají pod kontrolou a jaké výhody přináší provoz z tohoto systému jejich aktuálnímu cíli nebo celkovým cílům během vniknutí. Operační systém poskytuje mnoho nativních nástrojů, které pomáhají v této fázi shromažďování informací po ohrožení zabezpečení.
LateralMovement: Laterální pohyb se skládá z technik, které nežádoucímu můžou umožnit přístup k vzdáleným systémům v síti a řízení vzdálených systémů a nemusí nutně zahrnovat provádění nástrojů ve vzdálených systémech. Techniky laterálního pohybu by mohly nežádoucímu uživateli umožnit shromažďovat informace ze systému, aniž by potřeboval další nástroje, jako je například nástroj pro vzdálený přístup. Nežádoucí osoba může použít laterální pohyb pro mnoho účelů, včetně vzdáleného spuštění nástrojů, otáčení do dalších systémů, přístupu k určitým informacím nebo souborům, přístupu k dalším přihlašovacím údajům nebo k příčině účinku.
spuštění: Taktika provádění představuje techniky, které vedou ke spuštění nežádoucího kódu řízeného v místním nebo vzdáleném systému. Tato taktika se často používá ve spojení s laterálním pohybem k rozšíření přístupu ke vzdáleným systémům v síti.
kolekce: Kolekce se skládá z technik používaných k identifikaci a shromažďování informací, jako jsou citlivé soubory, z cílové sítě před exfiltrací. Tato kategorie se zabývá také umístěními v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci.
exfiltrace: Exfiltrace odkazuje na techniky a atributy, které vedou k nežádoucímu odebrání souborů a informací z cílové sítě nebo jejich pomoci. Tato kategorie se zabývá také umístěními v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci.
CommandAndControl: Taktika příkazu a řízení představuje způsob, jakým nežádoucí osoba komunikují se systémy pod jejich kontrolou v rámci cílové sítě.
Dopad: Primárním cílem záměru dopadu je přímo snížit dostupnost nebo integritu systému, služby nebo sítě. včetně manipulace s údaji s cílem ovlivnit obchodní nebo provozní proces. To by často odkazovalo na techniky, jako je výkupné-ware, odstranění identity, manipulace s daty a další.
type KillChainIntent = string
