| Предполагаемое внедрение SID-History |
1106 |
Высокая |
Повышение привилегий |
| Подозреваемая атака overpass-the-hash (Kerberos) |
2002 |
Средняя |
Перемещение внутри периметра |
| Разведывательная разведка перечисления учетных записей |
2003 |
Средняя |
Обнаружение |
| Подозреваемая атака подбора (LDAP) |
2004 |
Средняя |
Доступ к учетным данным |
| Подозреваемая атака DCSync (реплика tion служб каталогов) |
2006 |
Высокая |
Доступ к учетным данным, сохраняемость |
| Рекогносцировка сетевого сопоставления (DNS) |
2007 |
Средняя |
Обнаружение |
| Подозреваемая атака over-pass-the-hash (принудительный тип шифрования) |
2008 |
Средняя |
Перемещение внутри периметра |
| Предполагаемое использование Golden Ticket (понижение уровня шифрования) |
2009 |
Средняя |
Сохраняемость, эскалация привилегий, боковое движение |
| Подозреваемая атака на ключ скелета (понижение уровня шифрования) |
2010 |
Средняя |
Сохраняемость, боковое движение |
| Рекогносцировка пользовательских и IP-адресов (S МБ) |
2012 |
Средняя |
Обнаружение |
| Предполагаемое использование Золотого билета (данные о авторизации за выделяемые) |
2013 |
Высокая |
Доступ к учетным данным |
| Действие проверки подлинности Honeytoken |
2014 |
Средняя |
Доступ к учетным данным, обнаружение |
| Предполагаемое кражу удостоверений (pass-the-hash) |
2017 |
Высокая |
Перемещение внутри периметра |
| Предполагаемое кражу удостоверений (pass-the-ticket) |
2018 |
Высокий или средний |
Перемещение внутри периметра |
| Попытка удаленного выполнения кода |
2019 |
Средняя |
Выполнение, сохраняемость, эскалация привилегий, отвращение обороны, боковое движение |
| Вредоносный запрос главного ключа API защиты данных |
2020 |
Высокая |
Доступ к учетным данным |
| Разведка членства пользователей и групп (SAMR) |
2021 |
Средняя |
Обнаружение |
| Предполагаемое использование Золотого билета (аномалия времени) |
2022 |
Высокая |
Сохраняемость, эскалация привилегий, боковое движение |
| Подозреваемая атака подбора (Kerberos, NTLM) |
2023 |
Средняя |
Доступ к учетным данным |
| Подозрительные дополнения к конфиденциальным группам |
2024 |
Средняя |
Сохраняемость, доступ к учетным данным, |
| Подозрительное VPN-подключение |
2025 |
Средняя |
Уклонение от обороны, сохраняемость |
| Подозрительное создание службы |
2026 |
Средняя |
Выполнение, сохраняемость, эскалация привилегий, уклонение от обороны, боковое движение |
| Предполагаемое использование Золотого билета (несуществующая учетная запись) |
2027 |
Высокая |
Сохраняемость, эскалация привилегий, боковое движение |
| Подозреваемая атака DCShadow (повышение уровня контроллера домена) |
2028 |
Высокая |
Уклонение от защиты |
| Подозреваемая атака DCShadow (запрос на реплика контроллера домена) |
2029 |
Высокая |
Уклонение от защиты |
| Утечка данных через S МБ |
2030 |
Высокая |
Эксфильтрация, боковое движение, команда и управление |
| Подозрительный обмен данными через DNS |
2031 |
Средняя |
Кража |
| Предполагаемое использование золотого билета (аномалия билета) |
2032 |
Высокая |
Сохраняемость, эскалация привилегий, боковое движение |
| Подозреваемая атака подбора (S МБ) |
2033 |
Средняя |
Перемещение внутри периметра |
| Предполагаемое использование платформы взлома Metasploit |
2034 |
Средняя |
Перемещение внутри периметра |
| Подозреваемая атака программы-шантажистов WannaCry |
2035 |
Средняя |
Перемещение внутри периметра |
| Удаленное выполнение кода через DNS |
2036 |
Средняя |
Боковое движение, эскалация привилегий |
| Подозреваемая атака ретранслятора NTLM |
2037 |
Средний или низкий, если наблюдается с помощью подписанного протокола NTLM версии 2 |
Боковое движение, эскалация привилегий |
| Рекогносцировка субъекта безопасности (LDAP) |
2038 |
Средняя |
Доступ к учетным данным |
| Предполагаемое изменение проверки подлинности NTLM |
2039 |
Средняя |
Боковое движение, эскалация привилегий |
| Предполагаемое использование Золотого билета (аномалия билета с помощью RBCD) |
2040 |
Высокая |
Сохраняемость |
| Предполагаемое использование сертификата Kerberos |
2047 |
Высокая |
Перемещение внутри периметра |
| Подозрительные попытки делегирования Kerberos с помощью метода BronzeBit (CVE-2020-17049) |
2048 |
Средняя |
Доступ к учетным данным |
| Рекогносцировка атрибутов Active Directory (LDAP) |
2210 |
Средняя |
Обнаружение |
| Предполагаемая обработка пакетов S МБ (эксплуатация CVE-2020-0796) |
2406 |
Высокая |
Перемещение внутри периметра |
| Предполагаемое воздействие субъекта-службы Kerberos |
2410 |
Высокая |
Доступ к учетным данным |
| Предполагаемая попытка повышения привилегий Netlogon (эксплуатация CVE-2020-1472) |
2411 |
Высокая |
Повышение привилегий |
| Подозреваемая атака AS-REP Обжаренная |
2412 |
Высокая |
Доступ к учетным данным |
| Предполагаемое чтение ключа DKM AD FS |
2413 |
Высокая |
Доступ к учетным данным |
| Удаленное выполнение кода Exchange Server (CVE-2021-26855) |
2414 |
Высокая |
Перемещение внутри периметра |
| Предполагаемая попытка эксплуатации в службе Windows Print Spooler |
2415 |
Высокий или средний |
Перемещение внутри периметра |
| Подозрительное сетевое подключение через удаленный протокол шифрования файловой системы |
2416 |
Высокий или средний |
Перемещение внутри периметра |
| Предполагаемый подозрительный запрос билета Kerberos |
2418 |
Высокая |
Доступ к учетным данным |
| Подозрительное изменение атрибута sAMNameAccount (CVE-2021-42278 и CVE-2021-42287) |
2419 |
Высокая |
Доступ к учетным данным |
| Подозрительное изменение отношения доверия сервера AD FS |
2420 |
Средняя |
Повышение привилегий |
| Подозрительное изменение атрибута dNSHostName (CVE-2022-26923) |
2421 |
Высокая |
Повышение привилегий |
| Подозрительные попытки делегирования Kerberos созданным компьютером |
2422 |
Высокая |
Повышение привилегий |
| Подозрительное изменение атрибута ограниченного делегирования на основе ресурсов учетной записью компьютера |
2423 |
Высокая |
Повышение привилегий |
| Аномальная проверка подлинности службы федерации Active Directory (AD FS) (AD FS) с помощью подозрительного сертификата |
2424 |
Высокая |
Доступ к учетным данным |
| Подозрительное использование сертификата по протоколу Kerberos (PKINIT) |
2425 |
Высокая |
Перемещение внутри периметра |
| Предполагаемая атака DFSCoerce с помощью протокола распределенной файловой системы |
2426 |
Высокая |
Доступ к учетным данным |
| Атрибуты пользователя Honeytoken изменены |
2427 |
Высокая |
Сохраняемость |
| Членство в группе Honeytoken изменилось |
2428 |
Высокая |
Сохраняемость |
| Honeytoken был запрошен через LDAP |
2429 |
Низкая |
Обнаружение |
| Подозрительное изменение домена Администратор SdHolder |
2430 |
Высокая |
Сохраняемость |
| Предполагаемое перемещение учетной записи с использованием теневых учетных данных |
2431 |
Высокая |
Доступ к учетным данным |
| Запрос на сертификат подозрительного контроллера домена (ESC8) |
2432 |
Высокая |
Повышение привилегий |
| Подозрительное удаление записей базы данных сертификата |
2433 |
Средняя |
Уклонение от защиты |
| Подозрительный отключение фильтров аудита AD CS |
2434 |
Средняя |
Уклонение от защиты |
| Подозрительные изменения разрешений и параметров безопасности AD CS |
2435 |
Средняя |
Повышение привилегий |
| Рекогносцировка перечисления учетных записей (LDAP) (предварительная версия) |
2437 |
Средняя |
Обнаружение учетных записей, учетная запись домена |
| Изменение пароля в режиме восстановления служб каталогов |
2438 |
Средняя |
Сохраняемость, обработка учетных записей |
| Honeytoken был запрошен через SAM-R |
2439 |
Низкая |
Обнаружение |
| Изменение групповой политики |
2440 |
Средняя |
Уклонение от защиты |