KillChainIntent type
Definiuje wartości dla KillChainIntent.
KnownKillChainIntent może być używany zamiennie z KillChainIntent, to wyliczenie zawiera znane wartości obsługiwane przez usługę.
Znane wartości obsługiwane przez usługę
Nieznany: wartość domyślna.
Sondowanie: Sondowanie może być próbą uzyskania dostępu do określonego zasobu niezależnie od złośliwego zamiaru lub nieudaną próbą uzyskania dostępu do systemu docelowego w celu zebrania informacji przed wykorzystaniem. Ten krok jest zwykle wykrywany jako próba spoza sieci podczas skanowania systemu docelowego i znajdowania sposobu.
Eksploatacja: Eksploatacja to etap, w którym atakującemu udaje się zdobyć przyczółek na zaatakowanym zasobie. Ten etap ma zastosowanie nie tylko dla hostów obliczeniowych, ale także dla zasobów, takich jak konta użytkowników, certyfikaty itp. Przeciwnicy często będą mogli kontrolować zasób po tym etapie.
Trwałość: Trwałość to dowolna zmiana dostępu, akcji lub konfiguracji systemu, która zapewnia przeciwnikowi trwałą obecność w tym systemie. Przeciwnicy często muszą zachować dostęp do systemów poprzez przerwy, takie jak ponowne uruchomienia systemu, utrata poświadczeń lub inne błędy, które wymagają narzędzia dostępu zdalnego do ponownego uruchomienia lub alternatywnego zaplecza w celu odzyskania dostępu.
PrivilegeEscalation: eskalacja uprawnień jest wynikiem akcji, które umożliwiają przeciwnikowi uzyskanie wyższego poziomu uprawnień w systemie lub sieci. Niektóre narzędzia lub akcje wymagają wyższego poziomu uprawnień do pracy i są prawdopodobnie niezbędne w wielu punktach operacji. Konta użytkowników z uprawnieniami dostępu do określonych systemów lub wykonywania określonych funkcji niezbędnych dla przeciwników do osiągnięcia celu mogą być również uważane za eskalację uprawnień.
DefenseEvasion: Uchylanie się od obrony składa się z technik, których przeciwnik może użyć do uniknięcia wykrywania lub unikania innych obrony. Czasami te akcje są takie same jak lub odmiany technik w innych kategoriach, które mają dodatkową korzyść z odwrócenia konkretnej obrony lub ograniczenia ryzyka.
CredentialAccess: dostęp poświadczeń reprezentuje techniki, co powoduje dostęp do systemu, domeny lub poświadczeń usługi używanych w środowisku przedsiębiorstwa lub kontroli nad ich poświadczeniami. Przeciwnicy prawdopodobnie podejmą próbę uzyskania wiarygodnych poświadczeń od użytkowników lub kont administratorów (administrator systemu lokalnego lub użytkowników domeny z dostępem administratora) do użycia w sieci. Mając wystarczający dostęp w sieci, atakujący może utworzyć konta do późniejszego użycia w środowisku.
Odnajdywanie: odnajdywanie składa się z technik, które umożliwiają przeciwnikowi uzyskanie wiedzy na temat systemu i sieci wewnętrznej. Gdy przeciwnicy uzyskują dostęp do nowego systemu, muszą zorientować się na to, co teraz mają kontrolę i jakie korzyści wynikające z działania tego systemu dają ich bieżący cel lub ogólne cele podczas włamania. System operacyjny udostępnia wiele natywnych narzędzi, które pomagają w tym etapie zbierania informacji po naruszeniu zabezpieczeń.
LateralMovement: Ruch boczny składa się z technik, które umożliwiają przeciwnikowi uzyskiwanie dostępu do systemów zdalnych i sterowanie nimi w sieci, ale niekoniecznie obejmuje wykonywanie narzędzi w systemach zdalnych. Techniki przenoszenia bocznego mogą umożliwić przeciwnikowi zbieranie informacji z systemu bez konieczności używania dodatkowych narzędzi, takich jak narzędzie dostępu zdalnego. Przeciwnik może używać ruchu bocznego w wielu celach, w tym zdalnego wykonywania narzędzi, przechodzenia do dodatkowych systemów, dostępu do określonych informacji lub plików, dostępu do dodatkowych poświadczeń lub spowodowania efektu.
wykonywanie: taktyka wykonywania reprezentuje techniki, które powodują wykonanie kodu kontrolowanego przez przeciwnika w systemie lokalnym lub zdalnym. Ta taktyka jest często używana w połączeniu z ruchem bocznym w celu rozszerzenia dostępu do systemów zdalnych w sieci.
Collection: Kolekcja składa się z technik używanych do identyfikowania i zbierania informacji, takich jak poufne pliki, z sieci docelowej przed eksfiltracją. Ta kategoria obejmuje również lokalizacje w systemie lub sieci, w której atakujący może szukać informacji do eksfiltracji.
Exfiltration: Eksfiltracja odwołuje się do technik i atrybutów, które powodują lub pomagają przeciwnikowi w usuwaniu plików i informacji z sieci docelowej. Ta kategoria obejmuje również lokalizacje w systemie lub sieci, w której atakujący może szukać informacji do eksfiltracji.
CommandAndControl: taktyka poleceń i kontroli reprezentuje sposób, w jaki przeciwnicy komunikują się z systemami pod ich kontrolą w sieci docelowej.
Wpływ: głównym celem zamierzenia wpływu jest bezpośrednie ograniczenie dostępności lub integralności systemu, usługi lub sieci; w tym manipulowanie danymi w celu wywarcia wpływu na proces biznesowy lub operacyjny. Często odnosi się to do technik, takich jak oprogramowanie okupu, defacement, manipulowanie danymi i inne.
type KillChainIntent = string
