KillChainIntent type
Определяет значения для KillChainIntent.
KnownKillChainIntent может использоваться взаимозаменяемо с KillChainIntent, это перечисление содержит известные значения, которые поддерживает сервис.
Известные значения, поддерживаемые службой
Неизвестно: значение по умолчанию.
Зондирование: Зондирование может быть попыткой получить доступ к определенному ресурсу независимо от злого умысла или неудачной попыткой получить доступ к целевой системе для сбора информации перед эксплуатацией. Этот шаг обычно обнаруживается как попытка, исходящая извне сети, пытаясь проверить целевую систему и найти способ.
Эксплуатация: Эксплуатация — это этап, на котором злоумышленнику удается закрепиться на атакуемом ресурсе. Этот этап применим не только для вычислительных узлов, но и для ресурсов, таких как учетные записи пользователей, сертификаты и т. д. Злоумышленники часто смогут контролировать ресурс после этого этапа.
Постоянство: Постоянство — это любой доступ, действие или изменение конфигурации системы, которое обеспечивает постоянное присутствие злоумышленника в этой системе. Злоумышленники часто должны поддерживать доступ к системам путем прерываний, таких как перезагрузка системы, потеря учетных данных или другие сбои, которые потребуют от удаленного доступа средства перезапуска или альтернативного внутреннего сервера для восстановления доступа.
privilegeEscalation: повышение привилегий является результатом действий, позволяющих злоумышленнику получить более высокий уровень разрешений в системе или сети. Некоторые средства или действия требуют более высокого уровня привилегий для работы и, скорее всего, необходимы во многих точках во время операции. Учетные записи пользователей с разрешениями на доступ к определенным системам или выполнение определенных функций, необходимых для достижения их цели, также могут рассматриваться как эскалация привилегий.
DefenseEvasion: защита отвлечения состоит из методов, которые злоумышленник может использовать для предотвращения обнаружения или предотвращения других оборон. Иногда эти действия совпадают с вариантами методов в других категориях, которые обладают дополнительным преимуществом для снижения определенной защиты или устранения рисков.
CredentialAccess: доступ к учетным данным представляет методы, которые приводят к доступу к системе, домену или учетным данным службы, используемым в корпоративной среде. Злоумышленники, скорее всего, попытатся получить законные учетные данные от пользователей или учетных записей администратора (локальный системный администратор или пользователи домена с доступом администратора) для использования в сети. С достаточным доступом в сети злоумышленник может создавать учетные записи для последующего использования в среде.
обнаружения: обнаружение состоит из методов, позволяющих злоумышленнику получить знания о системе и внутренней сети. Когда злоумышленники получают доступ к новой системе, они должны ориентироваться на то, что они теперь имеют контроль над и какие преимущества от этой системы дают их текущую цель или общие цели во время вторжения. Операционная система предоставляет множество собственных средств, которые помогают на этом этапе сбора информации после компрометации.
Боковое перемещение: боковое движение состоит из методов, позволяющих злоумышленнику получать доступ к удаленным системам в сети и управлять ими, но не обязательно включать выполнение инструментов в удаленных системах. Методы бокового перемещения могут позволить злоумышленнику собирать информацию из системы, не нуждаясь в дополнительных средствах, таких как средство удаленного доступа. Злоумышленник может использовать боковое перемещение во многих целях, включая удаленное выполнение инструментов, сводку к дополнительным системам, доступ к определенной информации или файлам, доступ к дополнительным учетным данным или причинить эффект.
выполнение. Тактика выполнения представляет методы, которые приводят к выполнению управляемого злоумышленником кода в локальной или удаленной системе. Эта тактика часто используется в сочетании с боковой движением для расширения доступа к удаленным системам в сети.
коллекции: коллекция состоит из методов, используемых для идентификации и сбора информации, например конфиденциальных файлов, из целевой сети до кражи. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации.
эксфильтрации: эксфильтрация относится к методам и атрибутам, которые приводят или помогают злоумышленнику удалять файлы и сведения из целевой сети. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации.
CommandAndControl: тактика команд и управления представляет, как злоумышленники взаимодействуют с системами под их контролем в целевой сети.
Воздействие: Основная цель намерения воздействия заключается в непосредственном снижении доступности или целостности системы, услуги или сети; в том числе манипулирование данными для оказания влияния на бизнес или операционный процесс. Это часто относится к таким методам, как программы-шантажисты, дескрименты, манипуляции данными и другие.
type KillChainIntent = string
