KnownKillChainIntent enum
Znane wartości KillChainIntent akceptowane przez usługę.
Pola
| Collection | Kolekcja składa się z technik używanych do identyfikowania i zbierania informacji, takich jak poufne pliki, z sieci docelowej przed eksfiltracją. Ta kategoria obejmuje również lokalizacje w systemie lub sieci, w której atakujący może szukać informacji do eksfiltracji. |
| CommandAndControl | Taktyka poleceń i kontroli reprezentuje sposób, w jaki przeciwnicy komunikują się z systemami pod ich kontrolą w sieci docelowej. |
| CredentialAccess | Dostęp poświadczeń reprezentuje techniki, co powoduje dostęp do systemu, domeny lub poświadczeń usługi używanych w środowisku przedsiębiorstwa lub kontroli nad tym, czy nie. Przeciwnicy prawdopodobnie podejmą próbę uzyskania wiarygodnych poświadczeń od użytkowników lub kont administratorów (administrator systemu lokalnego lub użytkowników domeny z dostępem administratora) do użycia w sieci. Mając wystarczający dostęp w sieci, atakujący może utworzyć konta do późniejszego użycia w środowisku. |
| DefenseEvasion | Uchylanie się od obrony składa się z technik, których przeciwnik może użyć do uniknięcia wykrywania lub unikania innych obrony. Czasami te akcje są takie same jak lub odmiany technik w innych kategoriach, które mają dodatkową korzyść z odwrócenia konkretnej obrony lub ograniczenia ryzyka. |
| Discovery | Odnajdywanie składa się z technik, które umożliwiają przeciwnikowi uzyskanie wiedzy na temat systemu i sieci wewnętrznej. Gdy przeciwnicy uzyskują dostęp do nowego systemu, muszą zorientować się na to, co teraz mają kontrolę i jakie korzyści wynikające z działania tego systemu dają ich bieżący cel lub ogólne cele podczas włamania. System operacyjny udostępnia wiele natywnych narzędzi, które pomagają w tym etapie zbierania informacji po naruszeniu zabezpieczeń. |
| Execution | Taktyka wykonywania reprezentuje techniki, które powodują wykonanie kodu kontrolowanego przez przeciwnika w lokalnym lub zdalnym systemie. Ta taktyka jest często używana w połączeniu z ruchem bocznym w celu rozszerzenia dostępu do systemów zdalnych w sieci. |
| Exfiltration | Eksfiltracja odnosi się do technik i atrybutów, które powodują lub pomagają w ataku usuwającym pliki i informacje z sieci docelowej. Ta kategoria obejmuje również lokalizacje w systemie lub sieci, w której atakujący może szukać informacji do eksfiltracji. |
| Exploitation | Wykorzystanie to etap, w którym atakujący może dostać przyczółek na zaatakowany zasób. Ten etap ma zastosowanie nie tylko dla hostów obliczeniowych, ale także dla zasobów, takich jak konta użytkowników, certyfikaty itp. Przeciwnicy często będą mogli kontrolować zasób po tym etapie. |
| Impact | Głównym celem intencji wpływu jest bezpośrednie zmniejszenie dostępności lub integralności systemu, usługi lub sieci; w tym manipulowanie danymi w celu wpływu na proces biznesowy lub operacyjny. Często odnosi się to do technik, takich jak oprogramowanie okupu, defacement, manipulowanie danymi i inne. |
| LateralMovement | Ruch poprzeczny składa się z technik, które umożliwiają przeciwnikowi uzyskiwanie dostępu do systemów zdalnych i sterowanie nimi w sieci i może, ale niekoniecznie, obejmują wykonywanie narzędzi w systemach zdalnych. Techniki przenoszenia bocznego mogą umożliwić przeciwnikowi zbieranie informacji z systemu bez konieczności używania dodatkowych narzędzi, takich jak narzędzie dostępu zdalnego. Przeciwnik może używać ruchu bocznego w wielu celach, w tym zdalnego wykonywania narzędzi, przechodzenia do dodatkowych systemów, dostępu do określonych informacji lub plików, dostępu do dodatkowych poświadczeń lub spowodowania efektu. |
| Persistence | Trwałość to każda zmiana dostępu, akcji lub konfiguracji na system, który daje przeciwnikowi trwałą obecność w tym systemie. Przeciwnicy często muszą zachować dostęp do systemów poprzez przerwy, takie jak ponowne uruchomienia systemu, utrata poświadczeń lub inne błędy, które wymagają narzędzia dostępu zdalnego do ponownego uruchomienia lub alternatywnego zaplecza w celu odzyskania dostępu. |
| PrivilegeEscalation | Eskalacja uprawnień jest wynikiem akcji, które umożliwiają przeciwnikowi uzyskanie wyższego poziomu uprawnień w systemie lub sieci. Niektóre narzędzia lub akcje wymagają wyższego poziomu uprawnień do pracy i są prawdopodobnie niezbędne w wielu punktach operacji. Konta użytkowników z uprawnieniami dostępu do określonych systemów lub wykonywania określonych funkcji niezbędnych dla przeciwników do osiągnięcia celu mogą być również uważane za eskalację uprawnień. |
| Probing | Sondowanie może być próbą uzyskania dostępu do określonego zasobu niezależnie od złośliwego zamiaru lub nieudanej próby uzyskania dostępu do systemu docelowego w celu zebrania informacji przed wykorzystaniem. Ten krok jest zwykle wykrywany jako próba spoza sieci podczas skanowania systemu docelowego i znajdowania sposobu. |
| Unknown | Wartość domyślna. |
