Megosztás a következőn keresztül:


Hitelesítőadat-hozzáférési riasztások

A kibertámadások általában bármely elérhető entitás, például egy alacsony jogosultságú felhasználó ellen indulnak el, majd gyorsan haladnak oldalirányban, amíg a támadó nem fér hozzá az értékes objektumokhoz. Az értékes objektumok lehetnek bizalmas fiókok, tartományi rendszergazdák vagy rendkívül bizalmas adatok. A Microsoft Defender for Identity a teljes támadási lánc során azonosítja ezeket a speciális fenyegetéseket a forrásnál, és a következő fázisokba sorolja őket:

  1. Felderítési és felderítési riasztások
  2. Adatmegőrzési és jogosultság-eszkalációs riasztások
  3. Hitelesítő adatokhoz való hozzáférés
  4. Oldalirányú mozgásra vonatkozó riasztások
  5. Egyéb riasztások

Ha többet szeretne megtudni arról, hogyan ismerheti meg a Defender for Identity biztonsági riasztásainak struktúráját és gyakori összetevőit, olvassa el a biztonsági riasztások ismertetése című témakört. Az igaz pozitív (TP), a jóindulatú igaz pozitív (B-TP) és a hamis pozitív (FP) információkért lásd a biztonsági riasztások besorolását.

Az alábbi biztonsági riasztások segítenek azonosítani és szervizelni a defender for Identity által a hálózatban észlelt hitelesítőadat-hozzáférési fázis gyanús tevékenységeit.

A hitelesítő adatokhoz való hozzáférés olyan módszereket tartalmaz, amelyek ellopják a hitelesítő adatokat, például a fiókneveket és a jelszavakat. A hitelesítő adatok lekéréséhez használt technikák közé tartozik a kulcsleírás vagy a hitelesítő adatok memóriaképe. A hitelesítő adatok használata hozzáférést biztosíthat a támadóknak a rendszerekhez, megnehezítheti az észlelést, és lehetőséget biztosíthat további fiókok létrehozására a céljaik elérése érdekében.

Feltételezett találgatásos támadás (LDAP) (külső azonosító: 2004)

Előző név: Találgatásos támadás LDAP egyszerű kötéssel

Súlyosság: Közepes

Leírás:

Találgatásos támadás esetén a támadó számos különböző jelszóval próbál hitelesíteni a különböző fiókokhoz, amíg legalább egy fiókhoz nem talál megfelelő jelszót. Miután megtalálta, a támadó bejelentkezhet ezzel a fiókkal.

Ebben az észlelésben egy riasztás akkor aktiválódik, ha a Defender for Identity nagyszámú egyszerű kötéses hitelesítést észlel. Ez a riasztás olyan találgatásos támadásokat észlel, amelyet vízszintesen , kis jelszókészlettel hajtanak végre több felhasználónál, függőlegesen , csak néhány felhasználónál nagy jelszókészlettel, vagy a két lehetőség bármely kombinációjával. A riasztás a tartományvezérlőn és az AD FS/AD CS-kiszolgálókon futó érzékelők hitelesítési eseményein alapul.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Találgatásos erő (T1110)
MITRE támadási altechnika Jelszó-találgatás (T1110.001), jelszópermetezés (T1110.003)

Javasolt lépések a megelőzéshez:

  1. Összetett és hosszú jelszavak kényszerítése a szervezetben. Ez biztosítja a szükséges első szintű biztonságot a jövőbeli találgatásos támadások ellen.
  2. Az LDAP clear text protocol jövőbeli használatának megakadályozása a szervezetben.

Gyanús aranyjegy-használat (hamisított engedélyezési adatok) (külső azonosító: 2013)

Előző név: Jogosultságok eszkalálása hamisított engedélyezési adatokkal

Súlyosság: Magas

Leírás:

A Windows Server régebbi verzióiban ismert biztonsági rések lehetővé teszik a támadók számára a Privileged Attribute Certificate (PAC) manipulálását, amely a Kerberos-jegy azon mezője, amely felhasználói engedélyezési adatokat tartalmaz (az Active Directoryban ez csoporttagság), és további jogosultságokat biztosít a támadóknak.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Kerberos-jegyek ellopás vagy kovácsolás (T1558)
MITRE támadási altechnika Aranyjegy (T1558.001)

Javasolt lépések a megelőzéshez:

  1. Győződjön meg arról, hogy a Windows Server 2012 R2 operációs rendszert futtató összes tartományvezérlő telepítve van KB3011780 és a 2012 R2-ig minden tagkiszolgáló és tartományvezérlő naprakész a KB2496930. További információ: Silver PAC és Forged PAC.

A Data Protection API főkulcsának rosszindulatú kérése (külső azonosító: 2020)

Előző név: Rosszindulatú adatvédelmi személyes adatkérés

Súlyosság: Magas

Leírás:

A Windows az Adatvédelmi API-t (DPAPI) használja a böngészők, titkosított fájlok és egyéb bizalmas adatok által mentett jelszavak biztonságos védelmére. A tartományvezérlők rendelkeznek egy biztonsági mentési főkulcsmal, amely a DPAPI-val titkosított összes titkos kulcs visszafejtésére használható a tartományhoz csatlakoztatott Windows-gépeken. A támadók a főkulcs használatával visszafejthetik a DPAPI által védett titkos kulcsokat az összes tartományhoz csatlakoztatott gépen. Ebben az észlelésben a rendszer aktivál egy Defender for Identity riasztást, amikor a DPAPI-t használja a biztonsági mentés főkulcsának lekéréséhez.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Hitelesítő adatok jelszótárolókból (T1555)
MITRE támadási altechnika n/a

Feltételezett találgatásos támadás (Kerberos, NTLM) (külső azonosító: 2023)

Előző név: Gyanús hitelesítési hibák

Súlyosság: Közepes

Leírás:

Találgatásos támadás esetén a támadó több jelszóval próbál hitelesíteni a különböző fiókokban, amíg nem talál egy helyes jelszót, vagy egy jelszóval egy nagyméretű jelszópermetben, amely legalább egy fiókhoz használható. Miután megtalálta, a támadó bejelentkezik a hitelesített fiókkal.

Ebben az észlelésben egy riasztás akkor aktiválódik, ha a rendszer számos hitelesítési hibát észlel Kerberos, NTLM vagy jelszóspray használata esetén. A Kerberos vagy az NTLM használatával ez a típusú támadás általában vízszintesen történik, sok felhasználóhoz tartozó jelszavak kis halmazával, függőlegesen, több felhasználónál nagy jelszókészlettel vagy a kettő bármilyen kombinációjával.

A jelszópermetben, miután sikeresen számba vett egy listát az érvényes felhasználókról a tartományvezérlőről, a támadók egy gondosan kialakított jelszót próbálnak ki az összes ismert felhasználói fiókhoz (egy jelszó sok fiókhoz). Ha a kezdeti jelszó spray meghibásodik, újra próbálkoznak, egy másik gondosan kialakított jelszó használatával, általában a próbálkozások között 30 perc várakozás után. A várakozási idő lehetővé teszi, hogy a támadók ne aktiválják a legtöbb időalapú fiókzárolási küszöbértéket. A jelszópermet gyorsan a támadók és a tolltesztelők kedvenc technikájává vált. A jelszóspray-támadások hatékonynak bizonyultak a szervezet kezdeti láblécének megszerzésében, valamint a későbbi oldalirányú lépések elvégzésében, a jogosultságok eszkalálásában. A riasztások aktiválásának minimális időtartama egy hét.

Képzési időszak:

1 hét

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Találgatásos erő (T1110)
MITRE támadási altechnika Jelszó-találgatás (T1110.001), jelszópermetezés (T1110.003)

Javasolt lépések a megelőzéshez:

  1. Összetett és hosszú jelszavak kényszerítése a szervezetben. Ez biztosítja a szükséges első szintű biztonságot a jövőbeli találgatásos támadások ellen.

Biztonsági egyszerű felderítés (LDAP) (külső azonosító: 2038)

Súlyosság: Közepes

Leírás:

A biztonsági egyszerű felderítést a támadók a tartományi környezettel kapcsolatos kritikus információk megszerzésére használják. Információk, amelyek segítenek a támadóknak a tartományszerkezet leképezésében, valamint a kiemelt fiókok azonosításában a támadási lánc későbbi lépéseiben való használathoz. Az Lightweight Directory Access Protocol (LDAP) az egyik legnépszerűbb módszer, amelyet az Active Directory lekérdezéséhez mind a jogos, mind a rosszindulatú célokra használnak. A kerberoasting támadás első fázisaként gyakran használják az LDAP-központú biztonsági főfelderítést. A kerberoasting-támadásokkal lekérheti a biztonsági egyszerű nevek (SPN-k) céllistáját, amelyekhez a támadók megkísérlik lekérni a jegykiadó kiszolgáló (TGS) jegyeit.

Annak érdekében, hogy a Defender for Identity pontosan profilt tudjon létrehozni, és megismerhesse a jogszerű felhasználókat, az identitáshoz készült Defender üzembe helyezését követő első 10 napban nem aktiválódik ilyen típusú riasztás. A Defender for Identity kezdeti tanulási fázisának befejezése után riasztások jönnek létre azon számítógépeken, amelyek gyanús LDAP-számbavételi lekérdezéseket vagy olyan lekérdezéseket hajtanak végre, amelyek olyan bizalmas csoportokra irányulnak, amelyek korábban nem megfigyelt metódusokat használnak.

Képzési időszak:

Számítógépenként 15 nap, az első esemény napjától kezdve, a gépről megfigyelve.

MITRE:

Elsődleges MITRE-taktika Felderítés (TA0007)
Másodlagos MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Fiókfelderítés (T1087)
MITRE támadási altechnika Tartományi fiók (T1087.002)

A megelőzés konkrét javasolt lépéseinek elhárítása:

  1. Hosszú és összetett jelszavak használatát követelheti meg a szolgáltatásnév-fiókkal rendelkező felhasználók számára.
  2. Cserélje le a felhasználói fiókot csoport által felügyelt szolgáltatásfiókra (gMSA).

Feljegyzés

A rendszerbiztonsági főfelderítési (LDAP-) riasztásokat csak a Defender for Identity érzékelői támogatják.

Kerberos SPN-kitettség gyanúja (külső azonosító: 2410)

Súlyosság: Magas

Leírás:

A támadók eszközökkel számba vehetik a szolgáltatásfiókokat és a hozzájuk tartozó egyszerű szolgáltatásneveket (szolgáltatásnevek), Kerberos-szolgáltatásjegyet igényelnek a szolgáltatásokhoz, rögzítik a jegykiadó szolgáltatás (TGS) jegyeit a memóriából, kinyerik a kivonataikat, és mentik őket későbbi használatra egy offline találgatásos támadásban.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Kerberos-jegyek ellopás vagy kovácsolás (T1558)
MITRE támadási altechnika Kerberoasting (T1558.003)

As-REP pörkölési támadás gyanúja (külső azonosító: 2412)

Súlyosság: Magas

Leírás:

A támadók eszközökkel észlelik a Kerberos-előhitelesítésüket letiltó fiókokat, és titkosított időbélyeg nélkül küldenek AS-REQ kéréseket. Válaszul as-REP üzeneteket kapnak TGT-adatokkal, amelyek titkosíthatók egy nem biztonságos algoritmussal, például RC4-zel, és mentik őket későbbi használatra egy offline jelszómegtörési támadásban (hasonlóan a Kerberoastinghez), és elérhetővé teszik az egyszerű szöveges hitelesítő adatokat.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Kerberos-jegyek ellopás vagy kovácsolás (T1558)
MITRE támadási altechnika AS-REP pörkölés (T1558.004)

Javasolt lépések a megelőzéshez:

  1. Kerberos-előhitelesítés engedélyezése. A fiókattribútumokról és azok szervizelésére vonatkozó további információkért lásd : Nem biztonságos fiókattribútumok.

SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 kihasználtság) (külső azonosító: 2419)

Súlyosság: Magas

Leírás:

A támadók egyszerű elérési utat hozhatnak létre egy tartományadminisztrátor felhasználója számára olyan Active Directory-környezetben, amely nincs javítva. Ez az eszkalációs támadás lehetővé teszi a támadók számára, hogy egyszerűen emeljék a jogosultságukat egy tartományi rendszergazda jogosultságára, miután feltörték a tartomány egy normál felhasználóját.

Ha Kerberos használatával végez hitelesítést, a Rendszer a Ticket-Granting-Ticket (TGT) és a Ticket-Granting-Service (TGS) szolgáltatást kéri a kulcsterjesztési központtól (KDC). Ha olyan fiókhoz kértek TGS-t, amely nem található, a KDC egy záró $-val próbálja újra keresni.

A TGS-kérés feldolgozásakor a KDC nem tudja megkeresni a támadó által létrehozott DC1 kérelmező gépet. Ezért a KDC egy újabb keresési műveletet hajt végre, amely hozzáfűz egy záró $-t. A keresés sikeres. Ennek eredményeképpen a KDC a DC1$ jogosultságokkal bocsátja ki a jegyet.

A CVE-2021-42278 és A CVE-2021-42287 cveseket kombinálva a tartományi felhasználói hitelesítő adatokkal rendelkező támadók tartományi rendszergazdaként használhatják a hozzáférést.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Hozzáférési jogkivonat-kezelés (T1134),Privilege Eszkaláció kihasználása (T1068),Kerberos-jegyek ellopása vagy hamisítása (T1558)
MITRE támadási altechnika Token megszemélyesítése/ellopása (T1134.001)

Honeytoken hitelesítési tevékenység (külső azonosító: 2014)

Előző név: Honeytoken-tevékenység

Súlyosság: Közepes

Leírás:

A Honeytoken-fiókok olyan csalifiókok, amelyek az ilyen fiókokat érintő rosszindulatú tevékenységek azonosítására és nyomon követésére vannak beállítva. A Honeytoken-fiókokat nem szabad használaton kívül hagyni, miközben vonzó névvel kell csábítani a támadókat (például SQL-Admin). A tőlük származó hitelesítési tevékenységek rosszindulatú viselkedést jelezhetnek. További információ a honeytoken-fiókokról: Bizalmas vagy honeytoken fiókok kezelése.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
Másodlagos MITRE-taktika Felfedezés
MITRE támadási technika Fiókfelderítés (T1087)
MITRE támadási altechnika Tartományi fiók (T1087.002)

DcSync-támadás gyanúja (címtárszolgáltatások replikálása) (külső azonosító: 2006)

Előző név: Címtárszolgáltatások rosszindulatú replikálása

Súlyosság: Magas

Leírás:

Az Active Directory-replikáció az a folyamat, amellyel az egyik tartományvezérlőn végrehajtott módosítások szinkronizálódnak az összes többi tartományvezérlővel. A szükséges engedélyek birtokában a támadók replikációs kérelmet kezdeményezhetnek, amely lehetővé teszi számukra az Active Directoryban tárolt adatok lekérését, beleértve a jelszókivonatokat is.

Ebben az észlelésben egy riasztás akkor aktiválódik, ha a replikációs kérelmet nem tartományvezérlő számítógépről indítják el.

Feljegyzés

Ha olyan tartományvezérlői vannak, amelyeken a Defender for Identity érzékelők nincsenek telepítve, ezekre a tartományvezérlőkre nem vonatkozik a Defender for Identity. Ha egy új tartományvezérlőt nem regisztrált vagy nem védett tartományvezérlőn helyez üzembe, előfordulhat, hogy a Defender for Identity nem azonosítja azonnal tartományvezérlőként. A teljes lefedettség érdekében erősen ajánlott telepíteni a Defender for Identity érzékelőt minden tartományvezérlőre.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
Másodlagos MITRE-taktika Adatmegőrzés (TA0003)
MITRE támadási technika Operációs rendszer hitelesítő adatainak memóriaképe (T1003)
MITRE támadási altechnika DCSync (T1003.006)

Javasolt lépések a megelőzéshez:

Ellenőrizze a következő engedélyeket:

  1. Címtármódosítások replikálása.
  2. A címtár módosításainak replikálása.
  3. További információt a SharePoint Server 2013 profilszinkronizálási engedélyeinek megadása Active Directory tartományi szolgáltatások című témakörben talál. Használhatja az AD ACL Scannert, vagy létrehozhat egy Windows PowerShell-szkriptet annak meghatározásához, hogy a tartományban kik rendelkezhetnek ezekkel az engedélyekkel.

Feltételezett AD FS DKM-kulcs olvasása (külső azonosító: 2413)

Súlyosság: Magas

Leírás:

A jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítvány, beleértve az Active Directory összevonási szolgáltatások (AD FS) (AD FS) titkos kulcsait is, az AD FS konfigurációs adatbázisában tárolja. A tanúsítványok az Distribute Key Manager nevű technológiával vannak titkosítva. Az AD FS szükség esetén létrehozza és használja ezeket a DKM-kulcsokat. A Golden SAML-hez hasonló támadások végrehajtásához a támadónak az SAML-objektumokat aláíró titkos kulcsokra van szüksége, hasonlóan ahhoz, ahogyan a krbtgt-fiókra szükség van a Golden Ticket-támadásokhoz. Az AD FS felhasználói fiókjával a támadó hozzáférhet a DKM-kulcshoz, és visszafejtheti az SAML-jogkivonatok aláírásához használt tanúsítványokat. Ez az észlelés megpróbálja megtalálni azokat a szereplőket, amelyek megpróbálják beolvasni az AD FS-objektum DKM-kulcsát.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Nem biztonságos hitelesítő adatok (T1552)
MITRE támadási altechnika Nem biztonságos hitelesítő adatok: Titkos kulcsok (T1552.004)

Elosztott fájlrendszer protokollt használó DFSCoerce-támadás gyanúja (külső azonosító: 2426)

Súlyosság: Magas

Leírás:

Az DFSCoerce-támadással kényszerítheti a tartományvezérlőt, hogy hitelesítse magát egy távoli géppel, amely egy támadó felügyelete alatt áll az MS-DFSNM API használatával, amely NTLM-hitelesítést indít el. Ez végső soron lehetővé teszi, hogy a fenyegetéskezelő NTLM-továbbítási támadást indítson. 

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Kényszerített hitelesítés (T1187)
MITRE támadási altechnika n/a

Gyanús Kerberos-delegálási kísérlet a BronzeBit metódussal (CVE-2020-17049 kihasználtság) (külső azonosító: 2048)

Súlyosság: Közepes

Leírás:

Egy biztonsági rés (CVE-2020-17049) kihasználásával a támadók a BronzeBit metódussal próbálnak gyanús Kerberos-delegálást kísérelni. Ez jogosulatlan jogosultság-eszkalációhoz vezethet, és veszélyeztetheti a Kerberos-hitelesítési folyamat biztonságát.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Kerberos-jegyek ellopás vagy kovácsolás (T1558)
MITRE támadási altechnika n/a

Rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítés gyanús tanúsítvány használatával (külső azonosító: 2424)

Súlyosság: Magas

Leírás:

A gyanús tanúsítványokat Active Directory összevonási szolgáltatások (AD FS) (AD FS) használó rendellenes hitelesítési kísérletek potenciális biztonsági incidenseket jelezhetnek. Az AD FS-hitelesítés során a tanúsítványok monitorozása és ellenőrzése kulcsfontosságú a jogosulatlan hozzáférés megakadályozása szempontjából.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Webes hitelesítő adatok (T1606)
MITRE támadási altechnika n/a

Feljegyzés

A gyanús tanúsítványriasztásokat használó rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítést csak a Defender for Identity érzékelői támogatják az AD FS-en.

Gyanús fiókátvétel árnyék hitelesítő adatokkal (külső azonosító: 2431)

Súlyosság: Magas

Leírás:

Az árnyék hitelesítő adatok fiókátvételi kísérletben való használata rosszindulatú tevékenységre utal. A támadók megpróbálhatják kihasználni a gyenge vagy feltört hitelesítő adatokat, hogy jogosulatlan hozzáférést szerezzenek és szabályozhassák a felhasználói fiókokat.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Operációs rendszer hitelesítő adatainak memóriaképe (T1003)
MITRE támadási altechnika n/a

Gyanús Kerberos-jegykérelem (külső azonosító: 2418)

Súlyosság: Magas

Leírás:

Ez a támadás abnormális Kerberos-jegykérelmek gyanújával jár. A támadók megpróbálhatják kihasználni a Kerberos hitelesítési folyamat biztonsági réseit, ami illetéktelen hozzáféréshez és a biztonsági infrastruktúra sérüléséhez vezethet.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
Másodlagos MITRE-taktika Gyűjtemény (TA0009)
MITRE támadási technika Középen támadó (T1557)
MITRE támadási altechnika LLMNR/NBT-NS mérgezés és SMB Relay (T1557.001)

Jelszópermet a OneLogin ellen

Súlyosság: Magas

Leírás:

A Jelszó spray-ben a támadók megpróbálják kitalálni a jelszavak kis részhalmazát nagy számú felhasználóval szemben. Ez azért történik, hogy megpróbálja megtalálni, hogy a felhasználók valamelyike ismert\gyenge jelszót használ-e. Javasoljuk, hogy vizsgálja meg a sikertelen bejelentkezéseket végrehajtó forrás IP-címet annak megállapításához, hogy azok jogosak-e vagy sem.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Találgatásos erő (T1110)
MITRE támadási altechnika Jelszópermetezés (T1110.003)

Gyanús OneLogin MFA-fáradtság

Súlyosság: Magas

Leírás:

Az MFA kimerülése esetén a támadók több MFA-kísérletet küldenek a felhasználónak, miközben megpróbálják úgy érezni, hogy hiba van a rendszerben, amely továbbra is mFA-kéréseket jelenít meg, amelyek a bejelentkezés engedélyezését vagy elutasítását kérik. A támadók megpróbálják kikényszeríteni az áldozatot, hogy engedélyezze a bejelentkezést, ami leállítja az értesítéseket, és engedélyezi a támadónak, hogy bejelentkezzen a rendszerbe.

Javasoljuk, hogy vizsgálja meg a forrás IP-címét, amely a sikertelen MFA-kísérleteket hajtja végre annak megállapítására, hogy azok jogosak-e vagy sem, és hogy a felhasználó bejelentkezik-e.

Képzési időszak:

Egyik sem

MITRE:

Elsődleges MITRE-taktika Hitelesítő adatok elérése (TA0006)
MITRE támadási technika Többtényezős hitelesítési kérelem létrehozása (T1621)
MITRE támadási altechnika n/a

Lásd még