| Sid-History-injektálás gyanúja |
1106 |
Magas |
Jogosultság eszkalációja |
| Feltételezett felüljáró-a-hash támadás (Kerberos) |
2002 |
Közepes |
Oldalirányú mozgás |
| Fiók számbavételének felderítése |
2003 |
Közepes |
Felderítés |
| Feltételezett találgatásos támadás (LDAP) |
2004 |
Közepes |
Hitelesítő adatokhoz való hozzáférés |
| DCSync-támadás gyanúja (címtárszolgáltatások replikálása) |
2006 |
Magas |
Hitelesítő adatokhoz való hozzáférés, adatmegőrzés |
| Hálózatleképezés felderítése (DNS) |
2007 |
Közepes |
Felderítés |
| Feltételezett túllépéses hash támadás (kényszerített titkosítási típus) |
2008 |
Közepes |
Oldalirányú mozgás |
| Aranyjegy-használat gyanúja (titkosítási visszalépés) |
2009 |
Közepes |
Perzisztencia, Jogosultságok eszkalálása, Oldalirányú mozgás |
| Feltételezett csontvázkulcs-támadás (titkosítási leminősítés) |
2010 |
Közepes |
Állandóság, oldalirányú mozgás |
| Felhasználói és IP-címek felderítése (SMB) |
2012 |
Közepes |
Felderítés |
| Aranyjegy-használat gyanúja (hamisított engedélyezési adatok) |
2013 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
| Honeytoken hitelesítési tevékenység |
2014 |
Közepes |
Hitelesítő adatokhoz való hozzáférés, felderítés |
| Személyazonosság-lopás gyanúja (pass-the-hash) |
2017 |
Magas |
Oldalirányú mozgás |
| Személyazonosság-lopás gyanúja (pass-the-ticket) |
2018 |
Magas vagy közepes |
Oldalirányú mozgás |
| Távoli kódvégrehajtási kísérlet |
2019 |
Közepes |
Végrehajtás, Kitartás, Jogosultságok eszkalálása, Védelmi kijátszás, Oldalirányú mozgás |
| A Data Protection API főkulcsának rosszindulatú kérése |
2020 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
| Felhasználói és csoporttagsági felderítés (SAMR) |
2021 |
Közepes |
Felderítés |
| Gyanús Arany jegy használata (idő anomália) |
2022 |
Magas |
Perzisztencia, Jogosultságok eszkalálása, Oldalirányú mozgás |
| Feltételezett találgatásos támadás (Kerberos, NTLM) |
2023 |
Közepes |
Hitelesítő adatokhoz való hozzáférés |
| Gyanús hozzáadások bizalmas csoportokhoz |
2024 |
Közepes |
Adatmegőrzés, hitelesítő adatokhoz való hozzáférés, |
| Gyanús VPN-kapcsolat |
2025 |
Közepes |
Védelmi kijátszás, kitartás |
| Gyanús szolgáltatás létrehozása |
2026 |
Közepes |
Végrehajtás, Kitartás, Jogosultságeszkaláció, Védelmi kijátszás, Oldalirányú mozgás |
| Aranyjegy-használat gyanúja (nem létező fiók) |
2027 |
Magas |
Perzisztencia, Jogosultságok eszkalálása, Oldalirányú mozgás |
| DcShadow-támadás gyanúja (tartományvezérlő előléptetése) |
2028 |
Magas |
Védelmi kijátszás |
| DcShadow-támadás gyanúja (tartományvezérlő replikációs kérése) |
2029 |
Magas |
Védelmi kijátszás |
| Adatszűrés SMB-en keresztül |
2030 |
Magas |
Exfiltration, Lateral movement, Command and control |
| Gyanús kommunikáció DNS-en keresztül |
2031 |
Közepes |
Adatok kinyerése |
| Aranyjegy-használat gyanúja (jegy anomáliája) |
2032 |
Magas |
Perzisztencia, Jogosultságok eszkalálása, Oldalirányú mozgás |
| Feltételezett találgatásos támadás (SMB) |
2033 |
Közepes |
Oldalirányú mozgás |
| A Metasploit hacking keretrendszerének feltételezett használata |
2034 |
Közepes |
Oldalirányú mozgás |
| WannaCry ransomware-támadás gyanúja |
2035 |
Közepes |
Oldalirányú mozgás |
| Távoli kódvégrehajtás DNS-en keresztül |
2036 |
Közepes |
Oldalirányú mozgás, Jogosultságok eszkalálása |
| NTLM-továbbítási támadás gyanúja |
2037 |
Közepes vagy alacsony, ha az aláírt NTLM v2 protokoll használatával figyelhető meg |
Oldalirányú mozgás, Jogosultságok eszkalálása |
| Biztonsági tagok felderítése (LDAP) |
2038 |
Közepes |
Hitelesítő adatokhoz való hozzáférés |
| Gyanús NTLM-hitelesítés illetéktelen illetéktelen használata |
2039 |
Közepes |
Oldalirányú mozgás, Jogosultságok eszkalálása |
| Aranyjegy-használat gyanúja (jegy anomáliája RBCD használatával) |
2040 |
Magas |
Kitartás |
| Gyanús kerberos-tanúsítványhasználat |
2047 |
Magas |
Oldalirányú mozgás |
| Gyanús Kerberos-delegálási kísérlet a BronzeBit metódussal (CVE-2020-17049 kihasználtság) |
2048 |
Közepes |
Hitelesítő adatokhoz való hozzáférés |
| Active Directory-attribútumok felderítése (LDAP) |
2210 |
Közepes |
Felderítés |
| SMB-csomagok feltételezett manipulálása (CVE-2020-0796-os kihasználtság) |
2406 |
Magas |
Oldalirányú mozgás |
| Kerberos SPN-kitettség gyanúja |
2410 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
| Netlogon jogosultságszint-emelési kísérlet (CVE-2020-1472 kihasználtság) |
2411 |
Magas |
Jogosultság eszkalációja |
| As-REP-pörkölési támadás gyanúja |
2412 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
| Gyanús AD FS DKM-kulcs olvasása |
2413 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
| Exchange Server távoli kód végrehajtása (CVE-2021-26855) |
2414 |
Magas |
Oldalirányú mozgás |
| Feltételezett kihasználási kísérlet a Windows Print Spooler szolgáltatásban |
2415 |
Magas vagy közepes |
Oldalirányú mozgás |
| Gyanús hálózati kapcsolat a fájlrendszer távoli protokoll titkosítása során |
2416 |
Magas vagy közepes |
Oldalirányú mozgás |
| Gyanús Kerberos-jegykérés gyanúja |
2418 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
| SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 kihasználtság) |
2419 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
| Az AD FS-kiszolgáló megbízhatósági kapcsolatának gyanús módosítása |
2420 |
Közepes |
Jogosultság eszkalációja |
| DNSHostName attribútum gyanús módosítása (CVE-2022-26923) |
2421 |
Magas |
Jogosultság eszkalációja |
| Gyanús Kerberos-delegálási kísérlet egy újonnan létrehozott számítógép által |
2422 |
Magas |
Jogosultság eszkalációja |
| Az erőforrás-alapú korlátozott delegálás attribútum gyanús módosítása egy gépfiókon |
2423 |
Magas |
Jogosultság eszkalációja |
| Rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítés gyanús tanúsítvány használatával |
2424 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
| Gyanús tanúsítványhasználat Kerberos protokollon (PKINIT) keresztül |
2425 |
Magas |
Oldalirányú mozgás |
| Elosztott fájlrendszer protokoll használatával történő DFSCoerce-támadás gyanúja |
2426 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
| Honeytoken felhasználói attribútumok módosultak |
2427 |
Magas |
Kitartás |
| Módosult a Honeytoken-csoporttagság |
2428 |
Magas |
Kitartás |
| Honeytoken-t LDAP-n keresztül kérdezték le |
2429 |
Alacsony |
Felderítés |
| A tartomány Rendszergazda SdHolder gyanús módosítása |
2430 |
Magas |
Kitartás |
| Gyanús fiókátvétel árnyék hitelesítő adatokkal |
2431 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
| Gyanús tartományvezérlő tanúsítványkérelem (ESC8) |
2432 |
Magas |
Jogosultságok eszkalálása |
| A tanúsítvány-adatbázis bejegyzéseinek gyanús törlése |
2433 |
Közepes |
Védelmi kijátszás |
| Az AD CS naplózási szűrőinek gyanús letiltása |
2434 |
Közepes |
Védelmi kijátszás |
| Az AD CS biztonsági engedélyeinek/beállításainak gyanús módosításai |
2435 |
Közepes |
Jogosultságok eszkalálása |
| Fiók számbavételének felderítése (LDAP) (előzetes verzió) |
2437 |
Közepes |
Fiókfelderítés, tartományi fiók |
| Címtárszolgáltatások visszaállítási módjának jelszómódosítása (előzetes verzió) |
2438 |
Közepes |
Adatmegőrzés, fiókkezelés |
| Honeytoken-t SAM-R-n keresztül kérdezték le |
2439 |
Alacsony |
Felderítés |