KnownKillChainIntent enum
Valeurs connues de KillChainIntent acceptées par le service.
Champs
| Collection | La collection se compose de techniques utilisées pour identifier et collecter des informations, telles que des fichiers sensibles, à partir d’un réseau cible avant l’exfiltration. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer. |
| CommandAndControl | La tactique de commande et de contrôle représente la façon dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible. |
| CredentialAccess | L’accès aux informations d’identification représente des techniques permettant d’accéder ou de contrôler les informations d’identification du système, du domaine ou du service utilisées dans un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateur (administrateur système local ou utilisateurs de domaine disposant d’un accès administrateur) à utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure dans l’environnement. |
| DefenseEvasion | L’évasion de défense se compose de techniques qu’un adversaire peut utiliser pour échapper à la détection ou éviter d’autres défenses. Parfois, ces actions sont identiques ou des variantes de techniques dans d’autres catégories qui ont l’avantage supplémentaire de subvertir une défense ou une atténuation particulières. |
| Discovery | La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque les adversaires accèdent à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent maintenant et quels avantages tirent parti de ce système donnent à leur objectif actuel ou à leurs objectifs globaux pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs qui facilitent cette phase de collecte d’informations post-compromis. |
| Execution | La tactique d’exécution représente des techniques qui entraînent l’exécution du code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès aux systèmes distants sur un réseau. |
| Exfiltration | L’exfiltration fait référence aux techniques et attributs qui entraînent ou aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer. |
| Exploitation | L’exploitation est l’étape où un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape s’applique non seulement aux hôtes de calcul, mais également aux ressources telles que les comptes d’utilisateur, les certificats, etc. Les adversaires pourront souvent contrôler la ressource après cette phase. |
| Impact | L’objectif principal de l’intention d’impact est de réduire directement la disponibilité ou l’intégrité d’un système, d’un service ou d’un réseau ; y compris la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Cela ferait souvent référence à des techniques telles que le rançongiciel, la défacement, la manipulation des données et d’autres. |
| LateralMovement | Le mouvement latéral se compose de techniques qui permettent à un adversaire d’accéder aux systèmes distants et de contrôler les systèmes distants sur un réseau et ne peut pas nécessairement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral pourraient permettre à un adversaire de recueillir des informations à partir d’un système sans avoir besoin d’outils supplémentaires, tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution à distance d’outils, la pivotation vers des systèmes supplémentaires, l’accès à des informations ou des fichiers spécifiques, l’accès à des informations d’identification supplémentaires ou pour provoquer un effet. |
| Persistence | La persistance est toute modification d’accès, d’action ou de configuration apportée à un système qui donne à un adversaire une présence persistante sur ce système. Les adversaires devront souvent conserver l’accès aux systèmes par le biais d’interruptions telles que les redémarrages du système, la perte d’informations d’identification ou d’autres défaillances qui nécessiteraient un outil d’accès à distance pour redémarrer ou pour récupérer l’accès. |
| PrivilegeEscalation | L’escalade de privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau supérieur d’autorisations sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur pour fonctionner et sont probablement nécessaires à de nombreux points tout au long d’une opération. Les comptes d’utilisateur disposant d’autorisations d’accès à des systèmes spécifiques ou exécutent des fonctions spécifiques nécessaires pour que les adversaires atteignent leur objectif peuvent également être considérés comme une escalade de privilèges. |
| Probing | La détection peut être une tentative d’accès à une certaine ressource, quelle que soit une intention malveillante ou une tentative d’accès à un système cible pour collecter des informations avant l’exploitation. Cette étape est généralement détectée comme une tentative provenant de l’extérieur du réseau pour tenter d’analyser le système cible et de trouver un moyen. |
| Unknown | Valeur par défaut. |
