| Suspeita de injeção com história de SID |
1106 |
Máximo |
Escalamento de Privilégios |
| Suspeita de ataque overpass-the-hash (Kerberos) |
2002 |
Meio |
Movimento lateral |
| Reconhecimento de enumeração de contas |
2003 |
Meio |
Deteção |
| Suspeita de ataque de Força Bruta (LDAP) |
2004 |
Meio |
Acesso a credenciais |
| Suspeita de ataque DCSync (replicação de serviços de diretório) |
2006 |
Máximo |
Acesso a credenciais, persistência |
| Reconhecimento de mapeamento de rede (DNS) |
2007 |
Meio |
Deteção |
| Suspeita de ataque over-pass-the-hash (tipo de criptografia forçada) |
2008 |
Meio |
Movimento lateral |
| Suspeita de uso do Golden Ticket (downgrade de criptografia) |
2009 |
Meio |
Persistência, Escalonamento de privilégios, Movimento lateral |
| Suspeita de ataque da Chave Esqueleto (downgrade de criptografia) |
2010 |
Meio |
Persistência, Movimento lateral |
| Reconhecimento de usuários e endereços IP (SMB) |
2012 |
Meio |
Deteção |
| Suspeita de uso do Golden Ticket (dados de autorização falsificados) |
2013 |
Máximo |
Acesso a credenciais |
| Atividade de autenticação Honeytoken |
2014 |
Meio |
Acesso a credenciais, Descoberta |
| Suspeita de roubo de identidade (pass-the-hash) |
2017 |
Máximo |
Movimento lateral |
| Suspeita de roubo de identidade (pass-the-ticket) |
2018 |
Alto ou Médio |
Movimento lateral |
| Tentativa remota de execução de código |
2019 |
Meio |
Execução, Persistência, Escalada de privilégios, Evasão de defesa, Movimento lateral |
| Solicitação maliciosa da chave mestra da API de Proteção de Dados |
2020 |
Máximo |
Acesso a credenciais |
| Reconhecimento de membros de usuários e grupos (SAMR) |
2021 |
Meio |
Deteção |
| Suspeita de uso do Golden Ticket (anomalia de tempo) |
2022 |
Máximo |
Persistência, Escalonamento de privilégios, Movimento lateral |
| Suspeita de ataque de força bruta (Kerberos, NTLM) |
2023 |
Meio |
Acesso a credenciais |
| Adições suspeitas a grupos confidenciais |
2024 |
Meio |
Persistência, acesso a credenciais, |
| Conexão VPN suspeita |
2025 |
Meio |
Evasão defensiva, Persistência |
| Criação de serviço suspeito |
2026 |
Meio |
Execução, Persistência, Escalada de Privilégios, Evasão de Defesa, Movimento Lateral |
| Suspeita de uso do Golden Ticket (conta inexistente) |
2027 |
Máximo |
Persistência, Escalonamento de privilégios, Movimento lateral |
| Suspeita de ataque DCShadow (promoção do controlador de domínio) |
2028 |
Máximo |
Evasão à defesa |
| Suspeita de ataque DCShadow (solicitação de replicação do controlador de domínio) |
2029 |
Máximo |
Evasão à defesa |
| Exfiltração de dados através de SMB |
2030 |
Máximo |
Exfiltração, Movimento lateral, Comando e controlo |
| Comunicação suspeita através de DNS |
2031 |
Meio |
Exfiltração |
| Suspeita de utilização do Golden Ticket (anomalia do bilhete) |
2032 |
Máximo |
Persistência, Escalonamento de privilégios, Movimento lateral |
| Suspeita de ataque de Força Bruta (SMB) |
2033 |
Meio |
Movimento lateral |
| Suspeita de uso da estrutura de hacking Metasploit |
2034 |
Meio |
Movimento lateral |
| Suspeita de ataque de ransomware WannaCry |
2035 |
Meio |
Movimento lateral |
| Execução remota de código através de DNS |
2036 |
Meio |
Movimento lateral, escalonamento de privilégios |
| Suspeita de ataque de relé NTLM |
2037 |
Médio ou Baixo se observado usando o protocolo NTLM v2 assinado |
Movimento lateral, escalonamento de privilégios |
| Reconhecimento da entidade de segurança (LDAP) |
2038 |
Meio |
Acesso a credenciais |
| Suspeita de adulteração de autenticação NTLM |
2039 |
Meio |
Movimento lateral, escalonamento de privilégios |
| Suspeita de uso do Golden Ticket (anomalia do bilhete usando RBCD) |
2040 |
Máximo |
Persistência |
| Suspeita de uso de certificado Kerberos não autorizado |
2047 |
Máximo |
Movimento lateral |
| Tentativa suspeita de delegação Kerberos usando o método BronzeBit (exploração CVE-2020-17049) |
2048 |
Meio |
Acesso a credenciais |
| Reconhecimento de atributos do Ative Directory (LDAP) |
2210 |
Meio |
Deteção |
| Suspeita de manipulação de pacotes SMB (exploração CVE-2020-0796) |
2406 |
Máximo |
Movimento lateral |
| Suspeita de exposição ao Kerberos SPN |
2410 |
Máximo |
Acesso a credenciais |
| Suspeita de tentativa de elevação de privilégio Netlogon (exploração CVE-2020-1472) |
2411 |
Máximo |
Escalamento de Privilégios |
| Suspeita de ataque de torrefação AS-REP |
2412 |
Máximo |
Acesso a credenciais |
| Suspeita de leitura da chave AD FS DKM |
2413 |
Máximo |
Acesso a credenciais |
| Execução remota de código do Exchange Server (CVE-2021-26855) |
2414 |
Máximo |
Movimento lateral |
| Suspeita de tentativa de exploração no serviço Spooler de Impressão do Windows |
2415 |
Alto ou Médio |
Movimento lateral |
| Ligação de rede suspeita através do protocolo remoto do sistema de encriptação de ficheiros |
2416 |
Alto ou Médio |
Movimento lateral |
| Solicitação suspeita de tíquete Kerberos suspeito |
2418 |
Máximo |
Acesso a credenciais |
| Modificação suspeita de um atributo sAMNameAccount (exploração CVE-2021-42278 e CVE-2021-42287) |
2419 |
Máximo |
Acesso a credenciais |
| Modificação suspeita da relação de confiança do servidor AD FS |
2420 |
Meio |
Escalamento de Privilégios |
| Modificação suspeita de um atributo dNSHostName (CVE-2022-26923) |
2421 |
Máximo |
Escalamento de Privilégios |
| Tentativa suspeita de delegação Kerberos por um computador recém-criado |
2422 |
Máximo |
Escalamento de Privilégios |
| Modificação suspeita do atributo Delegação Restrita Baseada em Recursos por uma conta de máquina |
2423 |
Máximo |
Escalamento de Privilégios |
| Autenticação anormal dos Serviços de Federação do Ative Directory (AD FS) usando um certificado suspeito |
2424 |
Máximo |
Acesso a credenciais |
| Uso suspeito de certificados pelo protocolo Kerberos (PKINIT) |
2425 |
Máximo |
Movimento lateral |
| Suspeita de ataque DFSCoerce usando o protocolo de sistema de arquivos distribuídos |
2426 |
Máximo |
Acesso a credenciais |
| Atributos de usuário do Honeytoken modificados |
2427 |
Máximo |
Persistência |
| Membro do grupo Honeytoken alterado |
2428 |
Máximo |
Persistência |
| Honeytoken foi consultado via LDAP |
2429 |
Mínimo |
Deteção |
| Modificação suspeita do domínio AdminSdHolder |
2430 |
Máximo |
Persistência |
| Suspeita de invasão de conta usando credenciais de sombra |
2431 |
Máximo |
Acesso a credenciais |
| Solicitação suspeita de certificado do controlador de domínio (ESC8) |
2432 |
Máximo |
Escalonamento de privilégios |
| Exclusão suspeita das entradas do banco de dados de certificados |
2433 |
Meio |
Evasão à defesa |
| Desativação suspeita de filtros de auditoria do AD CS |
2434 |
Meio |
Evasão à defesa |
| Modificações suspeitas nas permissões/configurações de segurança do AD CS |
2435 |
Meio |
Escalonamento de privilégios |
| Reconhecimento de enumeração de conta (LDAP) (Visualização) |
2437 |
Meio |
Descoberta de conta, Conta de domínio |
| Alteração de senha do modo de restauração dos serviços de diretório (visualização) |
2438 |
Meio |
Persistência, Manipulação de Conta |
| Honeytoken foi consultado via SAM-R |
2439 |
Mínimo |
Deteção |