KillChainIntent type
Define valores para KillChainIntent.
KnownKillChainIntent pode ser usado de forma intercambiável com KillChainIntent, este enum contém os valores conhecidos que o serviço suporta.
Valores conhecidos suportados pelo serviço
Desconhecido: O valor padrão.
Investigação: A sondagem pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção maliciosa ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração. Esta etapa geralmente é detetada como uma tentativa originada de fora da rede na tentativa de verificar o sistema de destino e encontrar uma maneira de entrar.
Exploração: A exploração é o estágio em que um invasor consegue se firmar no recurso atacado. Esta etapa é aplicável não apenas para hosts de computação, mas também para recursos como contas de usuário, certificados, etc. Os adversários muitas vezes serão capazes de controlar o recurso após esta etapa.
Persistência: Persistência é qualquer acesso, ação ou alteração de configuração em um sistema que dá a um adversário uma presença persistente nesse sistema. Os adversários geralmente precisam manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exigiriam uma ferramenta de acesso remoto para reiniciar ou alternar backdoor para que eles recuperem o acesso.
PrivilegeEscalation: O escalonamento de privilégios é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou rede. Certas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos ao longo de uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários alcancem seu objetivo também podem ser consideradas uma escalada de privilégios.
DefesaEvasão: A evasão de defesa consiste em técnicas que um adversário pode usar para escapar da deteção ou evitar outras defesas. Às vezes, essas ações são iguais ou variações de técnicas em outras categorias que têm o benefício adicional de subverter uma determinada defesa ou mitigação.
CredentialAccess: O acesso a credenciais representa técnicas que resultam em acesso ou controle sobre credenciais de sistema, domínio ou serviço usadas em um ambiente corporativo. Os adversários provavelmente tentarão obter credenciais legítimas de usuários ou contas de administrador (administrador do sistema local ou usuários do domínio com acesso de administrador) para usar na rede. Com acesso suficiente dentro de uma rede, um adversário pode criar contas para uso posterior dentro do ambiente.
Discovery: Discovery consiste em técnicas que permitem ao adversário obter conhecimento sobre o sistema e a rede interna. Quando os adversários obtêm acesso a um novo sistema, eles devem orientar-se para o que eles agora têm controle e quais os benefícios operacionais desse sistema dão ao seu objetivo atual ou metas gerais durante a intrusão. O sistema operacional fornece muitas ferramentas nativas que ajudam nessa fase de coleta de informações pós-comprometimento.
LateralMovement: O movimento lateral consiste em técnicas que permitem a um adversário aceder e controlar sistemas remotos numa rede e poderia, mas não necessariamente, incluir a execução de ferramentas em sistemas remotos. As técnicas de movimento lateral podem permitir que um adversário reúna informações de um sistema sem precisar de ferramentas adicionais, como uma ferramenta de acesso remoto. Um adversário pode usar o movimento lateral para muitos fins, incluindo a execução remota de ferramentas, pivotagem para sistemas adicionais, acesso a informações ou arquivos específicos, acesso a credenciais adicionais ou para causar um efeito.
Execução: A tática de execução representa técnicas que resultam na execução de código controlado por adversários em um sistema local ou remoto. Esta tática é frequentemente usada em conjunto com o movimento lateral para expandir o acesso a sistemas remotos em uma rede.
Collection: A coleta consiste em técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes da exfiltração. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar.
Exfiltração: Exfiltração refere-se a técnicas e atributos que resultam ou ajudam no adversário removendo arquivos e informações de uma rede de destino. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar.
CommandAndControl: A tática de comando e controle representa como os adversários se comunicam com os sistemas sob seu controle dentro de uma rede alvo.
Impacto: O objetivo principal da intenção de impacto é reduzir diretamente a disponibilidade ou a integridade de um sistema, serviço ou rede; incluindo a manipulação de dados para afetar um processo comercial ou operacional. Isto muitas vezes se refere a técnicas como resgate-ware, defacement, manipulação de dados e outros.
type KillChainIntent = string
