KnownKillChainIntent enum
Известные значения KillChainIntent , которые принимает служба.
Поля
| Collection | Сбор состоит из методов, используемых для идентификации и сбора информации, таких как конфиденциальные файлы, из целевой сети перед эксфильтрацией. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации. |
| CommandAndControl | Тактика командования и управления представляет, как злоумышленники обмениваются информацией с системами под их контролем в целевой сети. |
| CredentialAccess | Доступ к учетным данным представляет методы, которые приводят к доступу к системе, домену или учетным данным службы, используемым в корпоративной среде. Злоумышленники, скорее всего, попытатся получить законные учетные данные от пользователей или учетных записей администратора (локальный системный администратор или пользователи домена с доступом администратора) для использования в сети. С достаточным доступом в сети злоумышленник может создавать учетные записи для последующего использования в среде. |
| DefenseEvasion | Уклонение от защиты состоит из методов, которые злоумышленник может использовать для уклонения от обнаружения или обхода других мер защиты. Иногда эти действия совпадают с вариантами методов в других категориях, которые обладают дополнительным преимуществом для снижения определенной защиты или устранения рисков. |
| Discovery | Обнаружение состоит из методов, позволяющих злоумышленнику получить знания о системе и внутренней сети. Когда злоумышленники получают доступ к новой системе, они должны ориентироваться на то, что они теперь имеют контроль над и какие преимущества от этой системы дают их текущую цель или общие цели во время вторжения. Операционная система предоставляет множество собственных средств, которые помогают на этом этапе сбора информации после компрометации. |
| Execution | Тактика выполнения представляет методы, которые приводят к выполнению управляемого злоумышленником кода на локальной или удаленной системе. Эта тактика часто используется в сочетании с боковой движением для расширения доступа к удаленным системам в сети. |
| Exfiltration | Эксфильтрация относится к методам и характеристикам, которые приводят или способствуют тому, что злоумышленник удаляет файлы и сведения из целевой сети. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации. |
| Exploitation | Эксплуатация — это этап, когда злоумышленнику удалось закрепиться на атакованном ресурсе. Этот этап применим не только для вычислительных узлов, но и для ресурсов, таких как учетные записи пользователей, сертификаты и т. д. Злоумышленники часто смогут контролировать ресурс после этого этапа. |
| Impact | Основная цель влияния заключается в том, чтобы напрямую уменьшить доступность или целостность системы, службы или сети; включая манипуляции с данными, чтобы повлиять на бизнес-процесс или рабочий процесс. Это часто относится к таким методам, как программы-шантажисты, дескрименты, манипуляции данными и другие. |
| LateralMovement | Боковое движение состоит из методов, позволяющих злоумышленнику получать доступ к удаленным системам в сети и управлять ими, но не обязательно включать выполнение средств на удаленных системах. Методы бокового перемещения могут позволить злоумышленнику собирать информацию из системы, не нуждаясь в дополнительных средствах, таких как средство удаленного доступа. Злоумышленник может использовать боковое перемещение во многих целях, включая удаленное выполнение инструментов, сводку к дополнительным системам, доступ к определенной информации или файлам, доступ к дополнительным учетным данным или причинить эффект. |
| Persistence | Сохраняемость — это любое изменение доступа, действия или конфигурации в систему, которая предоставляет злоумышленнику постоянное присутствие в этой системе. Злоумышленники часто должны поддерживать доступ к системам путем прерываний, таких как перезагрузка системы, потеря учетных данных или другие сбои, которые потребуют от удаленного доступа средства перезапуска или альтернативного внутреннего сервера для восстановления доступа. |
| PrivilegeEscalation | Эскалация привилегий — это результат действий, позволяющих злоумышленнику получить более высокий уровень разрешений в системе или сети. Некоторые средства или действия требуют более высокого уровня привилегий для работы и, скорее всего, необходимы во многих точках во время операции. Учетные записи пользователей с разрешениями на доступ к определенным системам или выполнение определенных функций, необходимых для достижения их цели, также могут рассматриваться как эскалация привилегий. |
| Probing | Проверка может быть попыткой доступа к определенному ресурсу независимо от злонамеренного намерения или неудачной попытки получить доступ к целевой системе для сбора информации до эксплуатации. Этот шаг обычно обнаруживается как попытка, исходящая извне сети, пытаясь проверить целевую систему и найти способ. |
| Unknown | Значение по умолчанию. |
