KillChainIntent type
Definiert Werte für KillChainIntent.
KnownKillChainIntent kann austauschbar mit KillChainIntent verwendet werden, diese Enumeration enthält die bekannten Werte, die der Dienst unterstützt.
Bekannte Werte, die vom Dienst unterstützt werden
Unbekannt: Der Standardwert.
Probing: Probing kann ein Versuch sein, auf eine bestimmte Ressource zuzugreifen, unabhängig von einer böswilligen Absicht, oder ein fehlgeschlagener Versuch, Zugriff auf ein Zielsystem zu erhalten, um Informationen vor der Ausnutzung zu sammeln. Dieser Schritt wird in der Regel als Versuch erkannt, der von außerhalb des Netzwerks stammt, um das Zielsystem zu scannen und einen Weg zu finden.
Ausbeutung: Ausnutzung ist die Phase, in der es einem Angreifer gelingt, auf die angegriffene Ressource zuzugreifen. Diese Stufe gilt nicht nur für Computehosts, sondern auch für Ressourcen wie Benutzerkonten, Zertifikate usw. Angreifer können die Ressource häufig nach dieser Phase steuern.
Persistenz: Persistenz ist jeder Zugriff, jede Aktion oder Konfigurationsänderung an einem System, die einem Angreifer eine dauerhafte Präsenz auf diesem System verleiht. Angreifer müssen häufig den Zugriff auf Systeme durch Unterbrechungen wie Systemneustarts, Verlust von Anmeldeinformationen oder andere Fehler beibehalten, bei denen ein Remotezugriffstool erforderlich wäre, um den Zugriff neu zu starten oder eine alternative Hintertür für sie wiederzuerlangen.
PrivilegeEscalation: Berechtigungseskalation ist das Ergebnis von Aktionen, die es einem Angreifer ermöglichen, eine höhere Berechtigungsstufe für ein System oder Netzwerk zu erhalten. Bestimmte Tools oder Aktionen erfordern ein höheres Maß an Berechtigungen für die Arbeit und sind wahrscheinlich an vielen Stellen während eines Vorgangs erforderlich. Benutzerkonten mit Berechtigungen für den Zugriff auf bestimmte Systeme oder das Ausführen bestimmter Funktionen, die für Angreifer erforderlich sind, um ihr Ziel zu erreichen, können auch als Eskalation der Rechte angesehen werden.
DefenseEvasion: Verteidigungshinterziehung besteht aus Techniken, die ein Angreifer verwenden kann, um die Erkennung zu umgehen oder andere Abwehrmaßnahmen zu vermeiden. Manchmal sind diese Aktionen identisch mit Techniken in anderen Kategorien, die den zusätzlichen Vorteil haben, eine bestimmte Verteidigung oder Gegenmaßnahme zu subvertieren.
CredentialAccess-: Der Zugriff auf Anmeldeinformationen stellt Techniken dar, die den Zugriff auf System-, Domänen- oder Dienstanmeldeinformationen, die in einer Unternehmensumgebung verwendet werden, ergeben. Angreifer versuchen wahrscheinlich, legitime Anmeldeinformationen von Benutzern oder Administratorkonten (lokaler Systemadministrator oder Domänenbenutzer mit Administratorzugriff) für die Verwendung im Netzwerk zu erhalten. Mit ausreichendem Zugriff innerhalb eines Netzwerks kann ein Angreifer Konten für die spätere Verwendung innerhalb der Umgebung erstellen.
Discovery: Discovery besteht aus Techniken, die es dem Angreifer ermöglichen, Wissen über das System und das interne Netzwerk zu gewinnen. Wenn Angreifer Zugang zu einem neuen System erhalten, müssen sie sich an dem orientieren, was sie jetzt kontrollieren und welche Vorteile dieses Systems ihrem aktuellen Ziel oder ihren allgemeinen Zielen während des Angriffs geben. Das Betriebssystem bietet viele systemeigene Tools, die in dieser Phase nach der Kompromittierung der Informationssammlung helfen.
LateralMovement: Lateral Movement besteht aus Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk zuzugreifen und zu steuern, und kann jedoch nicht notwendigerweise die Ausführung von Tools auf Remotesystemen umfassen. Die Lateral Movement-Techniken könnten es einem Angreifer ermöglichen, Informationen aus einem System zu sammeln, ohne zusätzliche Tools wie z. B. ein Remotezugriffstool zu benötigen. Ein Angreifer kann laterale Bewegungen für viele Zwecke verwenden, einschließlich remoteer Ausführung von Tools, Pivoting zu zusätzlichen Systemen, Zugriff auf bestimmte Informationen oder Dateien, Zugriff auf zusätzliche Anmeldeinformationen oder eine Auswirkung.
Ausführung: Die Ausführungstaktik stellt Techniken dar, die zur Ausführung von gegnerisch kontrolliertem Code auf einem lokalen oder Remotesystem führen. Diese Taktik wird häufig in Verbindung mit lateraler Bewegung verwendet, um den Zugriff auf Remotesysteme in einem Netzwerk zu erweitern.
Sammlungs-: Die Sammlung besteht aus Techniken, die verwendet werden, um Informationen zu identifizieren und zu sammeln, z. B. vertrauliche Dateien, aus einem Zielnetzwerk vor der Exfiltration. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen.
Exfiltration: Exfiltration bezieht sich auf Techniken und Attribute, die dazu führen oder helfen, dateien und Informationen aus einem Zielnetzwerk zu entfernen. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen.
CommandAndControl: Die Befehls- und Steuerungstaktik stellt dar, wie Angreifer mit Systemen unter ihrer Kontrolle innerhalb eines Zielnetzwerks kommunizieren.
Auswirkung: Das Hauptziel der Auswirkungsabsicht besteht darin, die Verfügbarkeit oder Integrität eines Systems, Dienstes oder Netzwerks direkt zu verringern. einschließlich der Manipulation von Daten, um einen Geschäfts- oder Betriebsprozess zu beeinflussen. Dies würde oft auf Techniken wie Lösegeldware, Verfälschung, Datenmanipulation und andere verweisen.
type KillChainIntent = string
