| Inyección de SID-History sospechosa |
1106 |
Alto |
Elevación de privilegios |
| Sospecha de ataque overpass-the-hash (Kerberos) |
2002 |
Media |
Desplazamiento lateral |
| Reconocimiento de enumeración de cuentas |
2003 |
Mediana |
Detección |
| Sospecha de ataque por fuerza bruta (LDAP) |
2004 |
Media |
Acceso de credencial |
| Sospecha de ataque DCSync (replicación de servicios de directorio) |
2006 |
Alto |
Acceso a credenciales, persistencia |
| Reconocimiento de asignación de red (DNS) |
2007 |
Mediana |
Detección |
| Sospecha de ataque over-pass-the-hash (tipo de cifrado forzado) |
2008 |
Media |
Desplazamiento lateral |
| Sospecha de uso de Golden Ticket (degradación de cifrado) |
2009 |
Media |
Persistencia, elevación de privilegios, movimiento lateral |
| Sospecha de ataque de Llave maestra (degradación de cifrado) |
2010 |
Media |
Persistencia, movimiento lateral |
| Reconocimiento de direcciones IP y usuarios (SMB) |
2012 |
Mediana |
Detección |
| Sospecha de uso de Golden Ticket (datos de autorización falsificados) |
2013 |
Alto |
Acceso de credencial |
| Actividad de autenticación de honeytoken |
2014 |
Media |
Acceso de credenciales, Discovery |
| Sospecha de robo de identidad (pass-the-hash) |
2017 |
Alto |
Desplazamiento lateral |
| Sospecha de robo de identidad (pass-the-ticket) |
2018 |
Medio o Alto |
Desplazamiento lateral |
| Intento de ejecución remota de código |
2019 |
Media |
Ejecución, persistencia, elevación de privilegios, evasión de defensa, movimiento lateral |
| Solicitud malintencionada de la clave maestra de la API de protección de datos |
2020 |
Alto |
Acceso de credencial |
| Reconocimiento de pertenencia a grupos y usuarios (SAMR) |
2021 |
Mediana |
Detección |
| Sospecha de uso de Golden Ticket (anomalía de tiempo) |
2022 |
Alto |
Persistencia, elevación de privilegios, movimiento lateral |
| Sospecha de ataque por fuerza bruta (Kerberos, NTLM) |
2023 |
Media |
Acceso de credencial |
| Incorporaciones sospechosas a grupos confidenciales |
2024 |
Media |
Persistencia, acceso a credenciales |
| Conexión de VPN sospechosa |
2025 |
Media |
Evasión de las defensas, persistencia |
| Creación del servicio sospechoso |
2026 |
Media |
Ejecución, persistencia, elevación de privilegios, evasión de defensa, movimiento lateral |
| Sospecha de uso de Golden Ticket (cuenta inexistente) |
2027 |
Alto |
Persistencia, elevación de privilegios, movimiento lateral |
| Sospecha de ataque DCShadow (promoción del controlador de dominio) |
2028 |
Alto |
Evasión defensiva |
| Sospecha de ataque DCShadow (solicitud de replicación del controlador de dominio) |
2029 |
Alto |
Evasión defensiva |
| Exfiltración de datos a través de SMB |
2030 |
Alto |
Exfiltración, movimiento lateral, comando y control |
| Comunicación sospechosa a través de DNS |
2031 |
Media |
Exfiltración |
| Sospecha de uso de Golden Ticket (anomalía de ticket) |
2032 |
Alto |
Persistencia, elevación de privilegios, movimiento lateral |
| Sospecha de ataque por fuerza bruta (SMB) |
2033 |
Media |
Desplazamiento lateral |
| Sospecha de uso del marco de piratería Metasploit |
2034 |
Media |
Desplazamiento lateral |
| Sospecha de ataque de ransomware WannaCry |
2035 |
Media |
Desplazamiento lateral |
| Ejecución remota de código mediante DNS |
2036 |
Media |
Movimiento lateral, elevación de privilegios |
| Sospecha de ataque de retransmisión NTLM |
2037 |
Medio o bajo si se observa mediante el protocolo NTLM v2 firmado |
Movimiento lateral, elevación de privilegios |
| Reconocimiento de entidad de seguridad (LDAP) |
2038 |
Media |
Acceso de credencial |
| Sospecha de alteración de la autenticación NTLM |
2039 |
Media |
Movimiento lateral, elevación de privilegios |
| Sospecha de uso de Golden Ticket (anomalía de ticket con RBCD) |
2040 |
Alto |
Persistencia |
| Sospecha de uso de certificados Kerberos no autorizados |
2047 |
Alto |
Desplazamiento lateral |
| Intento sospechoso de delegación Kerberos utilizando el método BronzeBit (explotación CVE-2020-17049) |
2048 |
Media |
Acceso de credencial |
| Reconocimiento de atributos de Active Directory (LDAP) |
2210 |
Mediana |
Detección |
| Sospecha de manipulación de paquetes SMB (explotación CVE-2020-0796) |
2406 |
Alto |
Desplazamiento lateral |
| Sospecha de exposición de SPN de Kerberos |
2410 |
Alto |
Acceso de credencial |
| Sospecha de intento de elevación de privilegios de Netlogon (explotación de CVE-2020-1472) |
2411 |
Alto |
Elevación de privilegios |
| Sospecha de ataque Roasting AS-REP |
2412 |
Alto |
Acceso de credencial |
| Sospecha de lectura de la clave DKM de AD FS |
2413 |
Alto |
Acceso de credencial |
| Ejecución de Código Remoto de Servidor Exchange (CVE-2021-26855) |
2414 |
Alto |
Desplazamiento lateral |
| Sospecha de intento de explotación en el servicio de administración de trabajos de impresión en cola de Windows |
2415 |
Medio o Alto |
Desplazamiento lateral |
| Conexión de red sospechosa a través del protocolo remoto del sistema de cifrado de archivos |
2416 |
Medio o Alto |
Desplazamiento lateral |
| Sospecha de solicitud de vale de Kerberos sospechosa |
2418 |
Alto |
Acceso de credencial |
| Modificación sospechosa de un atributo sAMNameAccount (explotación de CVE-2021-42278 y CVE-2021-42287) |
2419 |
Alto |
Acceso de credencial |
| Modificación sospechosa de la relación de confianza del servidor AD FS |
2420 |
Media |
Elevación de privilegios |
| Modificación sospechosa de un atributo dNSHostName (CVE-2022-26923) |
2421 |
Alto |
Elevación de privilegios |
| Intento sospechoso de delegación de Kerberos por parte de un equipo recién creado |
2422 |
Alto |
Elevación de privilegios |
| Modificación sospechosa del atributo Delegación restringida basada en recursos por parte de una cuenta de equipo |
2423 |
Alto |
Elevación de privilegios |
| Autenticación anómala de Servicios de federación de Active Directory (AD FS) mediante un certificado sospechoso |
2424 |
Alto |
Acceso de credencial |
| Uso sospechoso de certificados mediante el protocolo Kerberos (PKINIT) |
2425 |
Alto |
Desplazamiento lateral |
| Sospecha de ataque DFSCoerce mediante el protocolo Sistema de archivos distribuido |
2426 |
Alto |
Acceso de credencial |
| Atributos de usuario de honeytoken modificados |
2427 |
Alto |
Persistencia |
| Se ha cambiado la pertenencia a grupos de Honeytoken |
2428 |
Alto |
Persistencia |
| Honeytoken se consultó a través de LDAP |
2429 |
Bajo |
Detección |
| Modificación sospechosa de AdminSdHolder del dominio |
2430 |
Alto |
Persistencia |
| Sospecha de adquisición de cuenta mediante credenciales de instantánea |
2431 |
Alto |
Acceso de credencial |
| Solicitud sospechosa de certificado de controlador de certificado (ESC8) |
2432 |
Alto |
Escalación de privilegios |
| Eliminación sospechosa de las entradas de la base de datos de certificados |
2433 |
Media |
Evasión defensiva |
| Deshabilitación sospechosa de filtros de auditoría de AD CS |
2434 |
Media |
Evasión defensiva |
| Modificaciones sospechosas en los permisos o la configuración de seguridad de AD CS |
2435 |
Media |
Escalación de privilegios |
| Reconocimiento de enumeración de cuentas (LDAP) (versión preliminar) |
2437 |
Media |
Detección de cuentas, cuenta de dominio |
| Cambio de contraseña en modo de restauración de Directory Services |
2438 |
Media |
Persistencia, manipulación de cuentas |
| Honeytoken se consultó a través de SAM-R |
2439 |
Bajo |
Detección |
| Manipulación de directivas de grupo |
2440 |
Media |
Evasión defensiva |