KnownKillChainIntent enum
Bekende waarden van KillChainIntent die de service accepteert.
Velden
| Collection | Verzameling bestaat uit technieken die worden gebruikt voor het identificeren en verzamelen van informatie, zoals gevoelige bestanden, van een doelnetwerk vóór exfiltratie. Deze categorie omvat ook locaties in een systeem of netwerk waar de kwaadwillende persoon kan zoeken naar informatie om te exfiltreren. |
| CommandAndControl | De opdracht- en controletactiek geeft aan hoe kwaadwillende personen communiceren met systemen die onder hun controle vallen binnen een doelnetwerk. |
| CredentialAccess | Referentietoegang vertegenwoordigt technieken die leiden tot toegang tot of controle over systeem-, domein- of servicereferenties die worden gebruikt in een bedrijfsomgeving. Kwaadwillende personen proberen waarschijnlijk legitieme referenties te verkrijgen van gebruikers- of beheerdersaccounts (lokale systeembeheerder of domeingebruikers met beheerderstoegang) voor gebruik in het netwerk. Met voldoende toegang binnen een netwerk kan een kwaadwillende persoon accounts maken voor later gebruik binnen de omgeving. |
| DefenseEvasion | Verdedigingsontduiking bestaat uit technieken die een kwaadwillende persoon kan gebruiken om detectie te omzeilen of andere verdediging te voorkomen. Soms zijn deze acties hetzelfde als of variaties van technieken in andere categorieën die het extra voordeel hebben van het afkeren van een bepaalde verdediging of beperking. |
| Discovery | Detectie bestaat uit technieken waarmee de kwaadwillende persoon kennis kan krijgen over het systeem en het interne netwerk. Wanneer aanvallers toegang krijgen tot een nieuw systeem, moeten ze zich richten op waar ze nu controle over hebben en welke voordelen het gebruik van dat systeem bieden aan hun huidige doelstelling of algemene doelen tijdens de inbraak. Het besturingssysteem biedt veel systeemeigen hulpprogramma's die helpen in deze fase voor het verzamelen van informatie na inbreuk. |
| Execution | De uitvoeringstactiek vertegenwoordigt technieken die resulteren in de uitvoering van door aanvallers beheerde code op een lokaal of extern systeem. Deze tactiek wordt vaak gebruikt in combinatie met zijdelingse bewegingen om de toegang tot externe systemen in een netwerk uit te breiden. |
| Exfiltration | Exfiltratie verwijst naar technieken en kenmerken die resulteren in of helpen bij het verwijderen van bestanden en informatie uit een doelnetwerk. Deze categorie omvat ook locaties in een systeem of netwerk waar de kwaadwillende persoon kan zoeken naar informatie om te exfiltreren. |
| Exploitation | Exploitatie is de fase waarin een aanvaller voet aan de slag kan gaan met de aangevallen resource. Deze fase is niet alleen van toepassing op rekenhosts, maar ook voor resources zoals gebruikersaccounts, certificaten, enzovoort. Aanvallers kunnen na deze fase vaak de resource beheren. |
| Impact | Het primaire doel van de impact is het rechtstreeks verminderen van de beschikbaarheid of integriteit van een systeem, service of netwerk; inclusief manipulatie van gegevens die van invloed zijn op een bedrijf of operationeel proces. Dit zou vaak verwijzen naar technieken zoals losgeld-ware, defacement, gegevensmanipulatie en andere. |
| LateralMovement | Laterale beweging bestaat uit technieken waarmee een kwaadwillende persoon externe systemen op een netwerk kan openen en beheren en kan, maar niet noodzakelijkerwijs, uitvoering van hulpprogramma's op externe systemen omvatten. De laterale verplaatsingstechnieken kunnen een kwaadwillende persoon in staat stellen informatie van een systeem te verzamelen zonder extra hulpprogramma's nodig te hebben, zoals een hulpprogramma voor externe toegang. Een kwaadwillende persoon kan zijdelingse verplaatsing gebruiken voor veel doeleinden, waaronder het uitvoeren van hulpprogramma's op afstand, het draaien naar extra systemen, toegang tot specifieke informatie of bestanden, toegang tot aanvullende referenties of om een effect te veroorzaken. |
| Persistence | Persistentie is elke wijziging van toegang, actie of configuratie in een systeem dat een aanvaller een permanente aanwezigheid op dat systeem geeft. Kwaadwillende personen moeten vaak de toegang tot systemen behouden door onderbrekingen, zoals het opnieuw opstarten van het systeem, het verlies van referenties of andere fouten waarvoor een hulpprogramma voor externe toegang nodig is om opnieuw op te starten of een alternatieve backdoor om weer toegang te krijgen. |
| PrivilegeEscalation | Escalatie van bevoegdheden is het resultaat van acties waarmee een kwaadwillende persoon een hoger machtigingsniveau voor een systeem of netwerk kan verkrijgen. Bepaalde hulpprogramma's of acties vereisen een hoger bevoegdheidsniveau om te werken en zijn waarschijnlijk op veel punten in een bewerking nodig. Gebruikersaccounts met machtigingen voor toegang tot specifieke systemen of het uitvoeren van specifieke functies die nodig zijn voor kwaadwillende personen om hun doelstelling te bereiken, kunnen ook worden beschouwd als een escalatie van bevoegdheden. |
| Probing | Testen kan een poging zijn om toegang te krijgen tot een bepaalde resource, ongeacht een kwaadwillende bedoeling of een mislukte poging om toegang te krijgen tot een doelsysteem om informatie te verzamelen voorafgaand aan exploitatie. Deze stap wordt meestal gedetecteerd als een poging die afkomstig is van buiten het netwerk om het doelsysteem te scannen en een manier te vinden. |
| Unknown | De standaardwaarde. |
