KillChainIntent type
定義 KillChainIntent 的值。
KnownKillChainIntent 可以與 KillChainIntent 互換使用,此枚舉包含服務支援的已知值。
服務支援的已知值
未知:預設值。
探測:探測可能是嘗試訪問特定資源,而不管是否有惡意意圖,或者嘗試訪問目標系統以在利用之前收集信息失敗。 這個步驟通常會偵測為來自網路外部的嘗試,嘗試掃描目標系統並尋找方法。
利用:利用是攻擊者設法在受攻擊資源上站穩腳跟的階段。 此階段不僅適用於計算主機,也適用於用戶帳戶、憑證等資源。敵人通常能夠在此階段之後控制資源。
持久性:持久性是對系統的任何訪問、作或配置更改,使攻擊者在該系統上具有持久存在。 敵人通常需要透過系統重新啟動、認證遺失或其他需要遠端訪問工具重新啟動或替代後門才能重新取得存取權等中斷來維護系統的存取權。
PrivilegeEscalation:許可權提升是動作的結果,可讓對手取得系統或網路上較高層級的許可權。 某些工具或動作需要較高層級的許可權才能運作,而且在整個作業的許多時間點都可能需要。 有權存取特定系統的用戶帳戶,或執行攻擊者達成其目標所需的特定功能,也可能會被視為提升許可權。
DefenseEvasion:防禦逃避是由敵人可用來逃避偵測或避免其他防禦的技術所組成。 有時候,這些動作與其他類別中具有顛覆特定防禦或緩和之好處的技術相同或變化。
CredentialAccess:認證存取代表存取或控制企業環境中所使用的系統、網域或服務認證的技術。 攻擊者可能會嘗試從使用者或系統管理員帳戶(具有系統管理員存取權的本機系統管理員或網域使用者)取得合法認證,以在網路內使用。 在網路內有足夠的存取權,敵人可以建立帳戶,以供稍後在環境中使用。
探索:探索是由可讓敵人取得系統和內部網路知識的技術所組成。 當敵人獲得新系統的存取權時,他們必須把自己導向到他們現在擁有控制權的內容,以及從該系統作的好處,在入侵期間給予他們目前的目標或整體目標。 作業系統提供許多原生工具,有助於此入侵後的資訊收集階段。
LateralMovement:橫向移動是由技術所組成,可讓敵人存取和控制網路上的遠端系統,而且不一定包含遠端系統上的工具執行。 橫向動作技術可讓敵人從系統收集資訊,而不需要額外的工具,例如遠端訪問工具。 敵人可以針對許多用途使用橫向移動,包括遠端執行工具、樞紐至其他系統、存取特定資訊或檔案、存取其他認證或造成效果。
執行:執行策略代表導致在本機或遠端系統上執行敵人控制程式代碼的技術。 此策略通常與橫向移動搭配使用,以擴充網路上遠端系統的存取權。
集合:集合是由用來識別和收集信息的技術所組成,例如從目標網路外泄之前從目標網路收集資訊。 此類別也涵蓋攻擊者可能搜尋並外洩資訊時的系統或網路位置。
外洩:外泄是指導致或協助敵人從目標網路移除檔案和信息的技術和屬性。 此類別也涵蓋攻擊者可能搜尋並外洩資訊時的系統或網路位置。
CommandAndControl:命令和控制策略代表敵人如何與目標網路內系統進行通訊。
影響:影響意圖的主要目標是直接降低系統、服務或網路的可用性或完整性;包括縱數據以影響業務或運營流程。 這通常是指贖金軟體、污損、數據作和其他技術。
type KillChainIntent = string
