Injeksi SID-History yang Dicurigai |
1106 |
Sangat Penting |
Eskalasi Hak Istimewa |
Dugaan serangan overpass-the-hash (Kerberos) |
2002 |
Medium |
Gerakan lateral |
Pengintaian enumerasi akun |
2003 |
Medium |
Penemuan |
Diduga serangan Brute Force (LDAP) |
2004 |
Medium |
Akses info masuk |
Dugaan serangan DCSync (replikasi layanan direktori) |
2006 |
Sangat Penting |
Akses kredensial, Persistensi |
Pengintaian pemetaan jaringan (DNS) |
2007 |
Medium |
Penemuan |
Dugaan serangan over-pass-the-hash (jenis enkripsi paksa) |
2008 |
Medium |
Gerakan lateral |
Dugaan penggunaan Golden Ticket (enkripsi diturunkan) |
2009 |
Medium |
Persistensi, Eskalasi Hak Istimewa, Gerakan Lateral |
Dugaan serangan Skeleton Key (enkripsi diturunkan) |
2010 |
Medium |
Persistensi, gerakan Lateral |
Pengintaian alamat PENGGUNA dan IP (SMB) |
2012 |
Medium |
Penemuan |
Dugaan penggunaan Golden Ticket (data otorisasi yang dipalsukan) |
2013 |
Sangat Penting |
Akses info masuk |
Aktivitas autentikasi Honeytoken |
2014 |
Medium |
Akses kredensial, Penemuan |
Dugaan pencurian identitas (pass-the-hash) |
2017 |
Sangat Penting |
Gerakan lateral |
Dugaan pencurian identitas (pass-the-ticket) |
2018 |
Tinggi atau Sedang |
Gerakan lateral |
Upaya eksekusi kode jarak jauh |
2019 |
Medium |
Eksekusi, Persistensi, Eskalasi Hak Istimewa, Penggelembungan Pertahanan, Gerakan lateral |
Permintaan berbahaya kunci master API Perlindungan Data |
2020 |
Sangat Penting |
Akses info masuk |
Pengintaian keanggotaan Pengguna dan Grup (SAMR) |
2021 |
Medium |
Penemuan |
Dugaan penggunaan Golden Ticket (anomali waktu) |
2022 |
Sangat Penting |
Persistensi, Eskalasi Hak Istimewa, Gerakan Lateral |
Dugaan serangan Brute Force (Kerberos, NTLM) |
2023 |
Medium |
Akses info masuk |
Penambahan mencurigakan untuk grup sensitif |
2024 |
Medium |
Persistensi, Akses kredensial, |
Koneksi VPN yang mencurigakan |
2025 |
Medium |
Penghancuran pertahanan, Persistensi |
Pembuatan layanan yang mencurigakan |
2026 |
Medium |
Eksekusi, Persistensi, Eskalasi Hak Istimewa, Penggelembungan Pertahanan, Gerakan Lateral |
Dugaan penggunaan Golden Ticket (akun tidak ada) |
2027 |
Sangat Penting |
Persistensi, Eskalasi Hak Istimewa, Gerakan Lateral |
Dugaan serangan DCShadow (promosi pengendali domain) |
2028 |
Sangat Penting |
Penghancutan pertahanan |
Serangan DCShadow yang dicurigai (permintaan replikasi pengendali domain) |
2029 |
Sangat Penting |
Penghancutan pertahanan |
Penyelundupan data melalui SMB |
2030 |
Sangat Penting |
Eksfiltrasi, gerakan Lateral, Perintah dan kontrol |
Komunikasi mencurigakan melalui DNS |
2031 |
Medium |
Penyelundupan |
Dugaan penggunaan Golden Ticket (anomali tiket) |
2032 |
Sangat Penting |
Persistensi, Eskalasi Hak Istimewa, Gerakan Lateral |
Diduga serangan Brute Force (SMB) |
2033 |
Medium |
Gerakan lateral |
Dugaan penggunaan kerangka kerja peretasan Metasploit |
2034 |
Medium |
Gerakan lateral |
Dugaan serangan ransomware WannaCry |
2035 |
Medium |
Gerakan lateral |
Eksekusi kode jarak jauh melalui DNS |
2036 |
Medium |
Gerakan lateral, Eskalasi hak istimewa |
Dugaan serangan relai NTLM |
2037 |
Sedang atau Rendah jika diamati menggunakan protokol NTLM v2 yang ditandatangani |
Gerakan lateral, Eskalasi hak istimewa |
Pengintaian utama keamanan (LDAP) |
2038 |
Medium |
Akses info masuk |
Dugaan perusakan autentikasi NTLM |
2039 |
Medium |
Gerakan lateral, Eskalasi hak istimewa |
Dugaan penggunaan Golden Ticket (anomali tiket menggunakan RBCD) |
2040 |
Sangat Penting |
Persistensi |
Diduga nakal penggunaan sertifikat Kerberos |
2047 |
Sangat Penting |
Gerakan lateral |
Upaya delegasi Kerberos yang mencurigakan menggunakan metode BronzeBit (eksploitasi CVE-2020-17049) |
2048 |
Medium |
Akses info masuk |
Pengintaian atribut Direktori Aktif (LDAP) |
2210 |
Medium |
Penemuan |
Dugaan manipulasi paket SMB (eksploitasi CVE-2020-0796) |
2406 |
Sangat Penting |
Gerakan lateral |
Dugaan paparan SPN Kerberos |
2410 |
Sangat Penting |
Akses info masuk |
Dugaan upaya elevasi hak istimewa Netlogon (eksploitasi CVE-2020-1472) |
2411 |
Sangat Penting |
Eskalasi Hak Istimewa |
Dicurigai serangan AS-REP Roasting |
2412 |
Sangat Penting |
Akses info masuk |
Dugaan kunci AD FS DKM dibaca |
2413 |
Sangat Penting |
Akses info masuk |
Server Exchange Eksekusi Kode Jarak Jauh (CVE-2021-26855) |
2414 |
Sangat Penting |
Gerakan lateral |
Dugaan upaya eksploitasi pada layanan Windows Print Spooler |
2415 |
Tinggi atau Sedang |
Gerakan lateral |
Koneksi jaringan yang mencurigakan melalui Mengenkripsi Protokol Jarak Jauh Sistem File |
2416 |
Tinggi atau Sedang |
Gerakan lateral |
Mencurigakan permintaan tiket Kerberos |
2418 |
Sangat Penting |
Akses info masuk |
Modifikasi mencurigakan dari atribut sAMNameAccount (eksploitasi CVE-2021-42278 dan CVE-2021-42287) |
2419 |
Sangat Penting |
Akses info masuk |
Modifikasi mencurigakan dari hubungan kepercayaan server Layanan Federasi Direktori Aktif |
2420 |
Medium |
Eskalasi Hak Istimewa |
Modifikasi mencurigakan dari atribut dNSHostName (CVE-2022-26923) |
2421 |
Sangat Penting |
Eskalasi Hak Istimewa |
Upaya delegasi Kerberos yang mencurigakan oleh komputer yang baru dibuat |
2422 |
Sangat Penting |
Eskalasi Hak Istimewa |
Modifikasi mencurigakan dari atribut Delegasi yang Dibatasi Berbasis Sumber Daya oleh akun komputer |
2423 |
Sangat Penting |
Eskalasi Hak Istimewa |
Autentikasi Abnormal Active Directory Federation Services (AD FS) menggunakan sertifikat yang mencurigakan |
2424 |
Sangat Penting |
Akses info masuk |
Penggunaan sertifikat mencurigakan melalui protokol Kerberos (PKINIT) |
2425 |
Sangat Penting |
Gerakan lateral |
Dugaan serangan DFSCoerce menggunakan Protokol Sistem File Terdistribusi |
2426 |
Sangat Penting |
Akses info masuk |
Atribut pengguna Honeytoken dimodifikasi |
2427 |
Sangat Penting |
Persistensi |
Keanggotaan grup Honeytoken berubah |
2428 |
Sangat Penting |
Persistensi |
Honeytoken dikueri melalui LDAP |
2429 |
Kurang Penting |
Penemuan |
Modifikasi mencurigakan domain AdminSdHolder |
2430 |
Sangat Penting |
Persistensi |
Dugaan pengamanan akun menggunakan kredensial bayangan |
2431 |
Sangat Penting |
Akses info masuk |
Permintaan sertifikat Pengendali Domain Mencurigakan (ESC8) |
2432 |
Sangat Penting |
Eskalasi hak istimewa |
Penghapusan entri database sertifikat yang mencurigakan |
2433 |
Medium |
Penghancutan pertahanan |
Nonaktifkan filter audit AD CS yang mencurigakan |
2434 |
Medium |
Penghancutan pertahanan |
Modifikasi mencurigakan pada izin/pengaturan keamanan AD CS |
2435 |
Medium |
Eskalasi hak istimewa |
Pengintaian Enumerasi Akun (LDAP) (Pratinjau) |
2437 |
Medium |
Penemuan Akun, Akun Domain |
Perubahan Kata Sandi Mode Pemulihan Layanan Direktori |
2438 |
Medium |
Persistensi, Manipulasi Akun |
Honeytoken dikueri melalui SAM-R |
2439 |
Kurang Penting |
Penemuan |
Perubahan Kebijakan Grup |
2440 |
Medium |
Penghancutan pertahanan |