你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

KillChainIntent type

定义 KillChainIntent 的值。
KnownKillChainIntent 可与 KillChainIntent 互换使用,此枚举包含服务支持的已知值。

服务支持的已知值

未知:默认值。
探测:探测可能是尝试访问特定资源,而不考虑恶意意图或尝试在利用之前获取目标系统的访问权限以收集信息失败。 此步骤通常被检测为源自网络外部的尝试,试图扫描目标系统并找到一种方法。
利用:利用是攻击者设法在受攻击的资源上站稳脚跟的阶段。 此阶段不仅适用于计算主机,也适用于用户帐户、证书等资源。在此阶段之后,攻击者通常能够控制资源。
持久性:持久性是对系统的任何访问、操作或配置更改,使攻击者在该系统上持久存在。 攻击者通常需要通过中断(例如系统重启、凭据丢失或其他需要远程访问工具重启或备用后门才能重新获得访问权限)来保持对系统的访问。
PrivilegeEscalation:特权提升是允许攻击者获取系统或网络上更高级别的权限的操作的结果。 某些工具或操作需要更高级别的特权才能正常运行,并且在操作过程中的很多个时间点它们都是必需的。 有权访问特定系统或执行攻击者所需的特定函数的用户帐户也可能被视为特权提升。
防御评估:防御规避包括攻击者可用于逃避检测或避免其他防御的技术。 有时,这些操作与其他类别中的技术相同或变体,这些技术具有颠覆特定防御或缓解的额外好处。
CredentialAccess:凭据访问表示导致访问或控制企业环境中使用的系统、域或服务凭据的技术。 攻击者可能会尝试通过用户或管理员帐户(本地系统管理员或具有管理员权限的域用户)获取合法凭据,以便在网络中使用。 当攻击者在网络中具备足够的访问权限时,他们就可以创建帐户以供之后在环境中使用。
发现:发现包含一些技术,使攻击者能够获取有关系统和内部网络的知识。 当攻击者获得对新系统的访问权限时,在入侵期间,他们必须适应自己现在能控制的内容,并了解从该系统执行操作对他们的当前目标或总体目标有什么好处。 操作系统提供许多对这一入侵后信息收集阶段有帮助的本机工具。
LateralMovement:横向移动包括使攻击者能够访问和控制网络上的远程系统的技术,并且可以(但不一定)包括在远程系统上执行工具。 攻击者可利用这些横向移动方法从系统收集信息,而无需其他工具,例如远程访问工具。 攻击者可以使用横向移动来实现多种目的,包括远程执行工具、转到其他系统、访问特定信息或文件、访问其他凭据或造成某种影响。
执行:执行策略表示在本地或远程系统上执行攻击者控制的代码的技术。 这一策略通常与横向移动结合使用,目的是扩展网络上的远程系统访问权限。
集合:集合包含用于在外泄之前从目标网络识别和收集信息(如敏感文件)的技术。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。
外泄:外泄是指导致或帮助攻击者从目标网络中删除文件和信息的技术和属性。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。
CommandAndControl:命令和控制策略表示攻击者如何在目标网络中与受其控制的系统通信。
影响:影响意图的主要目标是直接降低系统、服务或网络的可用性或完整性;包括操作数据以影响业务或运营过程。 这通常是指勒索、污损、数据操纵等技术。

type KillChainIntent = string