KnownKillChainIntent enum
Valores conocidos de KillChainIntent que acepta el servicio.
Campos
| Collection | La colección consta de técnicas que se usan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la filtración. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario puede buscar información para filtrar. |
| CommandAndControl | La táctica de comando y control representa cómo los adversarios se comunican con los sistemas bajo su control dentro de una red de destino. |
| CredentialAccess | El acceso a credenciales representa técnicas que dan lugar a acceso o control sobre las credenciales de sistema, dominio o servicio que se usan en un entorno empresarial. Es probable que los adversarios intenten obtener credenciales legítimas de usuarios o cuentas de administrador (administradores del sistema local o usuarios de dominio con acceso de administrador) para usarlos en la red. Con el acceso suficiente dentro de una red, un adversario puede crear cuentas para su uso posterior en el entorno. |
| DefenseEvasion | La evasión de defensa consiste en técnicas que un adversario puede usar para eludir la detección o evitar otras defensas. A veces, estas acciones son iguales o variaciones de técnicas en otras categorías que tienen la ventaja adicional de subvertir una defensa o mitigación determinada. |
| Discovery | La detección consta de técnicas que permiten al adversario obtener conocimientos sobre el sistema y la red interna. Cuando los adversarios obtienen acceso a un nuevo sistema, deben orientarse a lo que ahora tienen control de y de qué beneficios funciona de ese sistema dan a su objetivo actual o objetivos generales durante la intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase posterior a la recopilación de información. |
| Execution | La táctica de ejecución representa técnicas que dan lugar a la ejecución de código controlado por adversarios en un sistema local o remoto. Esta táctica se usa a menudo junto con el movimiento lateral para expandir el acceso a sistemas remotos en una red. |
| Exfiltration | La filtración hace referencia a técnicas y atributos que dan como resultado o ayudan al adversario a quitar archivos e información de una red de destino. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario puede buscar información para filtrar. |
| Exploitation | La explotación es la fase en la que un atacante se encarga de mantener el pie de página en el recurso atacado. Esta fase es aplicable no solo para los hosts de proceso, sino también para recursos como cuentas de usuario, certificados, etc. Los adversarios a menudo podrán controlar el recurso después de esta fase. |
| Impact | El objetivo principal de la intención de impacto es reducir directamente la disponibilidad o integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo. Esto a menudo se referiría a técnicas como el software de rescate, la desfase, la manipulación de datos y otros. |
| LateralMovement | El movimiento lateral consta de técnicas que permiten a un adversario acceder y controlar sistemas remotos en una red y podrían, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. Las técnicas de movimiento lateral podrían permitir que un adversario recopile información de un sistema sin necesidad de herramientas adicionales, como una herramienta de acceso remoto. Un adversario puede usar el movimiento lateral para muchos propósitos, incluida la ejecución remota de herramientas, la dinamización a sistemas adicionales, el acceso a información o archivos específicos, el acceso a credenciales adicionales o provocar un efecto. |
| Persistence | La persistencia es cualquier cambio de acceso, acción o configuración a un sistema que proporciona a un adversario una presencia persistente en ese sistema. Los adversarios a menudo necesitarán mantener el acceso a los sistemas a través de interrupciones, como reinicios del sistema, pérdida de credenciales u otros errores que requerirían una herramienta de acceso remoto para reiniciar o alternar la puerta trasera para que recuperen el acceso. |
| PrivilegeEscalation | La elevación de privilegios es el resultado de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. Algunas herramientas o acciones requieren un mayor nivel de privilegio para trabajar y es probable que sean necesarias en muchos puntos a lo largo de una operación. Las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones específicas necesarias para que los adversarios logren su objetivo también pueden considerarse una escalación de privilegios. |
| Probing | El sondeo podría ser un intento de acceder a un determinado recurso independientemente de una intención malintencionada o de un intento erróneo de obtener acceso a un sistema de destino para recopilar información antes de la explotación. Normalmente, este paso se detecta como un intento de origen desde fuera de la red en intento de examinar el sistema de destino y encontrar una manera de hacerlo. |
| Unknown | Valor predeterminado. |
