KnownKillChainIntent enum
Bekannte Werte von KillChainIntent , die der Dienst akzeptiert.
Felder
| Collection | Die Sammlung besteht aus Techniken, die verwendet werden, um Informationen, z. B. vertrauliche Dateien, aus einem Zielnetzwerk vor der Exfiltration zu identifizieren und zu sammeln. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen. |
| CommandAndControl | Die Befehls- und Kontrolltaktik stellt dar, wie Angreifer mit Systemen unter ihrer Kontrolle innerhalb eines Zielnetzwerks kommunizieren. |
| CredentialAccess | Der Zugriff auf Anmeldeinformationen stellt Techniken dar, die den Zugriff auf oder die Kontrolle über System-, Domänen- oder Dienstanmeldeinformationen ergeben, die in einer Unternehmensumgebung verwendet werden. Angreifer versuchen wahrscheinlich, legitime Anmeldeinformationen von Benutzern oder Administratorkonten (lokaler Systemadministrator oder Domänenbenutzer mit Administratorzugriff) für die Verwendung im Netzwerk zu erhalten. Mit ausreichendem Zugriff innerhalb eines Netzwerks kann ein Angreifer Konten für die spätere Verwendung innerhalb der Umgebung erstellen. |
| DefenseEvasion | Verteidigungshinterziehung besteht aus Techniken, die ein Angreifer verwenden kann, um die Erkennung zu umgehen oder andere Abwehrmaßnahmen zu vermeiden. Manchmal sind diese Aktionen identisch mit Techniken in anderen Kategorien, die den zusätzlichen Vorteil haben, eine bestimmte Verteidigung oder Gegenmaßnahme zu subvertieren. |
| Discovery | Die Entdeckung besteht aus Techniken, die es dem Angreifer ermöglichen, Wissen über das System und das interne Netzwerk zu gewinnen. Wenn Angreifer Zugang zu einem neuen System erhalten, müssen sie sich an dem orientieren, was sie jetzt kontrollieren und welche Vorteile dieses Systems ihrem aktuellen Ziel oder ihren allgemeinen Zielen während des Angriffs geben. Das Betriebssystem bietet viele systemeigene Tools, die in dieser Phase nach der Kompromittierung der Informationssammlung helfen. |
| Execution | Die Ausführungstaktik stellt Techniken dar, die zur Ausführung von gegnerisch kontrolliertem Code auf einem lokalen oder Remotesystem führen. Diese Taktik wird häufig in Verbindung mit lateraler Bewegung verwendet, um den Zugriff auf Remotesysteme in einem Netzwerk zu erweitern. |
| Exfiltration | Exfiltration bezieht sich auf Techniken und Attribute, die dazu führen oder helfen, dateien und Informationen aus einem Zielnetzwerk zu entfernen. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen. |
| Exploitation | Die Ausbeutung ist die Phase, in der ein Angreifer verwaltet, um die angegriffene Ressource zu fußen. Diese Stufe gilt nicht nur für Computehosts, sondern auch für Ressourcen wie Benutzerkonten, Zertifikate usw. Angreifer können die Ressource häufig nach dieser Phase steuern. |
| Impact | Das primäre Ziel der Auswirkung ist es, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks direkt zu reduzieren; einschließlich der Manipulation von Daten, um sich auf einen Geschäfts- oder Betrieblichen Prozess zu auswirken. Dies würde oft auf Techniken wie Lösegeldware, Verfälschung, Datenmanipulation und andere verweisen. |
| LateralMovement | Lateral movement besteht aus Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk zuzugreifen und zu steuern, und kann jedoch nicht notwendigerweise die Ausführung von Tools auf Remotesystemen umfassen. Die Lateral Movement-Techniken könnten es einem Angreifer ermöglichen, Informationen aus einem System zu sammeln, ohne zusätzliche Tools wie z. B. ein Remotezugriffstool zu benötigen. Ein Angreifer kann laterale Bewegungen für viele Zwecke verwenden, einschließlich remoteer Ausführung von Tools, Pivoting zu zusätzlichen Systemen, Zugriff auf bestimmte Informationen oder Dateien, Zugriff auf zusätzliche Anmeldeinformationen oder eine Auswirkung. |
| Persistence | Persistenz ist jede Zugriffs-, Aktions- oder Konfigurationsänderung für ein System, das einem Angreifer eine dauerhafte Präsenz auf diesem System verleiht. Angreifer müssen häufig den Zugriff auf Systeme durch Unterbrechungen wie Systemneustarts, Verlust von Anmeldeinformationen oder andere Fehler beibehalten, bei denen ein Remotezugriffstool erforderlich wäre, um den Zugriff neu zu starten oder eine alternative Hintertür für sie wiederzuerlangen. |
| PrivilegeEscalation | Die Berechtigungseskalation ist das Ergebnis von Aktionen, die es einem Angreifer ermöglichen, eine höhere Berechtigungsstufe für ein System oder Netzwerk zu erhalten. Bestimmte Tools oder Aktionen erfordern ein höheres Maß an Berechtigungen für die Arbeit und sind wahrscheinlich an vielen Stellen während eines Vorgangs erforderlich. Benutzerkonten mit Berechtigungen für den Zugriff auf bestimmte Systeme oder das Ausführen bestimmter Funktionen, die für Angreifer erforderlich sind, um ihr Ziel zu erreichen, können auch als Eskalation der Rechte angesehen werden. |
| Probing | Das Probing könnte ein Versuch sein, auf eine bestimmte Ressource zuzugreifen, unabhängig von einer böswilligen Absicht oder einem fehlgeschlagenen Versuch, Zugriff auf ein Zielsystem zu erhalten, um Informationen vor der Ausbeutung zu sammeln. Dieser Schritt wird in der Regel als Versuch erkannt, der von außerhalb des Netzwerks stammt, um das Zielsystem zu scannen und einen Weg zu finden. |
| Unknown | Der Standardwert. |
