| Sospetto inserimento della cronologia SID |
1106 |
Alto |
Escalation dei privilegi |
| Sospetto attacco overpass-the-hash (Kerberos) |
2002 |
Medio |
Spostamento laterale |
| Ricognizione dell'enumerazione account |
2003 |
Medio |
Individuazione |
| Sospetto attacco di forza bruta (LDAP) |
2004 |
Medio |
Accesso tramite credenziali |
| Sospetto attacco DCSync (replica di servizi directory) |
2006 |
Alto |
Accesso alle credenziali, persistenza |
| Ricognizione mapping di rete (DNS) |
2007 |
Medio |
Individuazione |
| Sospetto attacco over-pass-the-hash (tipo di crittografia forzata) |
2008 |
Medio |
Spostamento laterale |
| Sospetto utilizzo di Golden Ticket (downgrade della crittografia) |
2009 |
Medio |
Persistenza, escalation dei privilegi, spostamento laterale |
| Sospetto attacco Skeleton Key (downgrade della crittografia) |
2010 |
Medio |
Persistenza, spostamento laterale |
| Ricognizione di indirizzi IP e utente (SMB) |
2012 |
Medio |
Individuazione |
| Sospetto utilizzo di Golden Ticket (dati di autorizzazione contraffatti) |
2013 |
Alto |
Accesso tramite credenziali |
| Attività di autenticazione honeytoken |
2014 |
Medio |
Accesso alle credenziali, individuazione |
| Sospetto furto di identità (pass-the-hash) |
2017 |
Alto |
Spostamento laterale |
| Sospetto furto di identità (pass-the-ticket) |
2018 |
Alto o Medio |
Spostamento laterale |
| Tentativo di esecuzione del codice remoto |
2019 |
Medio |
Esecuzione, persistenza, escalation dei privilegi, evasione della difesa, movimento laterale |
| Richiesta dannosa della chiave master dell'API protezione dati |
2020 |
Alto |
Accesso tramite credenziali |
| Ricognizione dell'appartenenza a utenti e gruppi (SAMR) |
2021 |
Medio |
Individuazione |
| Sospetto utilizzo di Golden Ticket (anomalia temporale) |
2022 |
Alto |
Persistenza, escalation dei privilegi, spostamento laterale |
| Sospetto attacco di forza bruta (Kerberos, NTLM) |
2023 |
Medio |
Accesso tramite credenziali |
| Aggiunte sospette a gruppi sensibili |
2024 |
Medio |
Persistenza, accesso alle credenziali, |
| Connessione VPN sospetta |
2025 |
Medio |
Evasione della difesa, persistenza |
| Creazione di servizi sospetti |
2026 |
Medio |
Esecuzione, persistenza, escalation dei privilegi, evasione della difesa, movimento laterale |
| Sospetto utilizzo di Golden Ticket (account inesistente) |
2027 |
Alto |
Persistenza, escalation dei privilegi, spostamento laterale |
| Sospetto attacco DCShadow (promozione del controller di dominio) |
2028 |
Alto |
Evasione delle difese |
| Sospetto attacco DCShadow (richiesta di replica del controller di dominio) |
2029 |
Alto |
Evasione delle difese |
| Esfiltrazione di dati su SMB |
2030 |
Alto |
Esfiltrazione, spostamento laterale, comando e controllo |
| Comunicazione sospetta tramite DNS |
2031 |
Medio |
Esfiltrazione |
| Sospetto utilizzo di Golden Ticket (anomalia del ticket) |
2032 |
Alto |
Persistenza, escalation dei privilegi, spostamento laterale |
| Sospetto attacco di forza bruta (SMB) |
2033 |
Medio |
Spostamento laterale |
| Sospetto uso di Metasploit hacking framework |
2034 |
Medio |
Spostamento laterale |
| Sospetto attacco ransomware WannaCry |
2035 |
Medio |
Spostamento laterale |
| Esecuzione di codice remoto su DNS |
2036 |
Medio |
Spostamento laterale, escalation dei privilegi |
| Sospetto attacco di inoltro NTLM |
2037 |
Medio o Basso se osservato usando il protocollo NTLM v2 firmato |
Spostamento laterale, escalation dei privilegi |
| Ricognizione dell'entità di sicurezza (LDAP) |
2038 |
Medio |
Accesso tramite credenziali |
| Sospetta manomissione dell'autenticazione NTLM |
2039 |
Medio |
Spostamento laterale, escalation dei privilegi |
| Sospetto utilizzo di Golden Ticket (anomalia del ticket con RBCD) |
2040 |
Alto |
Persistenza |
| Sospetto utilizzo di certificati Kerberos non autorizzati |
2047 |
Alto |
Spostamento laterale |
| Tentativo di delega Kerberos sospetto con il metodo BronzeBit (EXPLOIT CVE-2020-17049) |
2048 |
Medio |
Accesso tramite credenziali |
| Ricognizione degli attributi di Active Directory (LDAP) |
2210 |
Medio |
Individuazione |
| Sospetta manipolazione dei pacchetti SMB (exploit CVE-2020-0796) |
2406 |
Alto |
Spostamento laterale |
| Sospetto esposizione del nome SPN Kerberos |
2410 |
Alto |
Accesso tramite credenziali |
| Sospetto tentativo di elevazione dei privilegi Netlogon (CVE-2020-1472 exploit) |
2411 |
Alto |
Escalation dei privilegi |
| Sospetto attacco di tostatura AS-REP |
2412 |
Alto |
Accesso tramite credenziali |
| Sospetto lettura della chiave DKM di AD FS |
2413 |
Alto |
Accesso tramite credenziali |
| Esecuzione di codice remoto di Exchange Server (CVE-2021-26855) |
2414 |
Alto |
Spostamento laterale |
| Sospetto tentativo di sfruttamento nel servizio Spooler di stampa Windows |
2415 |
Alto o Medio |
Spostamento laterale |
| Connessione di rete sospetta tramite crittografia del protocollo remoto del file system |
2416 |
Alto o Medio |
Spostamento laterale |
| Sospetta richiesta di ticket Kerberos sospetta |
2418 |
Alto |
Accesso tramite credenziali |
| Modifica sospetta di un attributo sAMNameAccount (CVE-2021-42278 e CVE-2021-42287 exploit) |
2419 |
Alto |
Accesso tramite credenziali |
| Modifica sospetta della relazione di trust del server AD FS |
2420 |
Medio |
Escalation dei privilegi |
| Modifica sospetta di un attributo dNSHostName (CVE-2022-26923) |
2421 |
Alto |
Escalation dei privilegi |
| Tentativo di delega Kerberos sospetto da parte di un computer appena creato |
2422 |
Alto |
Escalation dei privilegi |
| Modifica sospetta dell'attributo delega vincolata basata su risorse da un account del computer |
2423 |
Alto |
Escalation dei privilegi |
| Autenticazione adnomala di Active Directory Federation Services (AD FS) con un certificato sospetto |
2424 |
Alto |
Accesso tramite credenziali |
| Utilizzo sospetto del certificato tramite il protocollo Kerberos (PKINIT) |
2425 |
Alto |
Spostamento laterale |
| Sospetto attacco DFSCoerce tramite il protocollo Distributed File System |
2426 |
Alto |
Accesso tramite credenziali |
| Attributi utente honeytoken modificati |
2427 |
Alto |
Persistenza |
| Appartenenza al gruppo honeytoken modificata |
2428 |
Alto |
Persistenza |
| Il honeytoken è stato sottoposto a query tramite LDAP |
2429 |
Basso |
Individuazione |
| Modifica sospetta del dominio Amministrazione SdHolder |
2430 |
Alto |
Persistenza |
| Sospetto acquisizione dell'account tramite credenziali shadow |
2431 |
Alto |
Accesso tramite credenziali |
| Richiesta di certificato del controller di dominio sospetta (ESC8) |
2432 |
Alto |
Escalation dei privilegi |
| Eliminazione sospetta delle voci del database del certificato |
2433 |
Medio |
Evasione delle difese |
| Disabilitazione sospetta dei filtri di controllo di Servizi certificati Active Directory |
2434 |
Medio |
Evasione delle difese |
| Modifiche sospette alle autorizzazioni/impostazioni di sicurezza di Servizi certificati Active Directory |
2435 |
Medio |
Escalation dei privilegi |
| Ricognizione dell'enumerazione account (LDAP) (anteprima) |
2437 |
Medio |
Individuazione account, account di dominio |
| Modifica della password in modalità ripristino servizi directory |
2438 |
Medio |
Persistenza, manipolazione dell'account |
| Honeytoken è stato sottoposto a query tramite SAM-R |
2439 |
Basso |
Individuazione |
| Manomissione di Criteri di gruppo |
2440 |
Medio |
Evasione delle difese |