KillChainIntent type
Définit les valeurs de KillChainIntent.
KnownKillChainIntent peut être utilisé de manière interchangeable avec KillChainIntent, cette énumération contient les valeurs connues que le service prend en charge.
Valeurs connues prises en charge par le service
Inconnu : valeur par défaut.
Palping : le sondage peut être une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante ou une tentative ratée d’accéder à un système cible pour collecter des informations avant l’exploitation. Cette étape est généralement détectée comme une tentative provenant de l’extérieur du réseau pour tenter d’analyser le système cible et de trouver un moyen.
Exploitation : L’exploitation est l’étape où un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape s’applique non seulement aux hôtes de calcul, mais également aux ressources telles que les comptes d’utilisateur, les certificats, etc. Les adversaires pourront souvent contrôler la ressource après cette phase.
Persistance : la persistance est tout accès, action ou modification de configuration d’un système qui donne à un adversaire une présence persistante sur ce système. Les adversaires devront souvent conserver l’accès aux systèmes par le biais d’interruptions telles que les redémarrages du système, la perte d’informations d’identification ou d’autres défaillances qui nécessiteraient un outil d’accès à distance pour redémarrer ou pour récupérer l’accès.
PrivilegeEscalation: l’escalade de privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau supérieur d’autorisations sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur pour fonctionner et sont probablement nécessaires à de nombreux points tout au long d’une opération. Les comptes d’utilisateur disposant d’autorisations d’accès à des systèmes spécifiques ou exécutent des fonctions spécifiques nécessaires pour que les adversaires atteignent leur objectif peuvent également être considérés comme une escalade de privilèges.
DefenseEvasion: l’évasion de défense se compose de techniques qu’un adversaire peut utiliser pour échapper à la détection ou éviter d’autres défenses. Parfois, ces actions sont identiques ou des variantes de techniques dans d’autres catégories qui ont l’avantage supplémentaire de subvertir une défense ou une atténuation particulières.
CredentialAccess: l’accès aux informations d’identification représente des techniques permettant d’accéder ou de contrôler les informations d’identification du système, du domaine ou du service utilisées dans un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateur (administrateur système local ou utilisateurs de domaine disposant d’un accès administrateur) à utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure dans l’environnement.
Découverte: la découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque les adversaires accèdent à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent maintenant et quels avantages tirent parti de ce système donnent à leur objectif actuel ou à leurs objectifs globaux pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs qui facilitent cette phase de collecte d’informations post-compromis.
LateralMovement: le mouvement latéral se compose de techniques permettant à un adversaire d’accéder et de contrôler les systèmes distants sur un réseau et peut, mais pas nécessairement, inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral pourraient permettre à un adversaire de recueillir des informations à partir d’un système sans avoir besoin d’outils supplémentaires, tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution à distance d’outils, la pivotation vers des systèmes supplémentaires, l’accès à des informations ou des fichiers spécifiques, l’accès à des informations d’identification supplémentaires ou pour provoquer un effet.
exécution: la tactique d’exécution représente des techniques qui entraînent l’exécution du code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès aux systèmes distants sur un réseau.
Collection: collection se compose de techniques utilisées pour identifier et collecter des informations, telles que des fichiers sensibles, à partir d’un réseau cible avant l’exfiltration. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer.
l’exfiltration: l’exfiltration fait référence à des techniques et des attributs qui entraînent ou aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer.
CommandAndControl: la tactique de commande et de contrôle représente la façon dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible.
Impact : L’objectif principal de l’intention d’impact est de réduire directement la disponibilité ou l’intégrité d’un système, d’un service ou d’un réseau. y compris la manipulation de données pour avoir un impact sur un processus commercial ou opérationnel. Cela ferait souvent référence à des techniques telles que le rançongiciel, la défacement, la manipulation des données et d’autres.
type KillChainIntent = string
