|
Mistanke om SID-History injektion |
1106 |
Høj |
Rettighedseskalering |
|
Mistænkt overpass-the-hash-angreb (Kerberos) |
2002 |
Middel |
Tværgående bevægelse |
|
Rekognoscering af kontooptælling |
2003 |
Middel |
Opdagelse |
|
Mistanke om LDAP (Brute Force-angreb) |
2004 |
Middel |
Adgang til legitimationsoplysninger |
|
Mistanke om DCSync-angreb (replikering af katalogtjenester) |
2006 |
Høj |
Adgang til legitimationsoplysninger, fastholdelse |
|
Netværkstilknytnings reconnaissance (DNS) |
2007 |
Middel |
Opdagelse |
|
Mistanke om over-pass-the-hash-angreb (tvungen krypteringstype) |
2008 |
Middel |
Tværgående bevægelse |
|
Mistanke om brug af golden ticket (nedgradering af kryptering) |
2009 |
Middel |
Vedholdenhed, rettighedseskalering, tværgående bevægelse |
|
Mistanke om skeletnøgleangreb (nedgradering af kryptering) |
2010 |
Middel |
Vedholdenhed, tværgående bevægelse |
|
Rekognoscering af bruger- og IP-adresse (SMB) |
2012 |
Middel |
Opdagelse |
|
Mistanke om brug af golden ticket (forfalskede godkendelsesdata) |
2013 |
Høj |
Adgang til legitimationsoplysninger |
|
Honeytoken-godkendelsesaktivitet |
2014 |
Middel |
Adgang til legitimationsoplysninger, Registrering |
|
Mistanke om identitetstyveri (pass-the-hash) |
2017 |
Høj |
Tværgående bevægelse |
|
Mistanke om identitetstyveri (pass-the-ticket) |
2018 |
Høj eller mellem |
Tværgående bevægelse |
|
Forsøg på fjernkørsel af kode |
2019 |
Middel |
Execution, Persistence, Privilege escalation, Defense evasion, Lateral movement |
|
Skadelig anmodning om MASTER-nøgle til Databeskyttelses-API |
2020 |
Høj |
Adgang til legitimationsoplysninger |
|
Samr (User and Group membership reconnaissance) |
2021 |
Middel |
Opdagelse |
|
Mistanke om brug af golden ticket (tidsuregelregel) |
2022 |
Høj |
Vedholdenhed, rettighedseskalering, tværgående bevægelse |
|
Mistænkt Brute Force-angreb (Kerberos, NTLM) |
2023 |
Middel |
Adgang til legitimationsoplysninger |
|
Mistænkelige tilføjelser til følsomme grupper |
2024 |
Middel |
Vedholdenhed, adgang til legitimationsoplysninger, |
|
Mistænkelig VPN-forbindelse |
2025 |
Middel |
Forsvarsunddragelse, vedholdenhed |
|
Mistænkelig oprettelse af tjeneste |
2026 |
Middel |
Execution, Persistence, Privilege Escalation, Defense evasion, Lateral movement |
|
Mistanke om brug af golden ticket (ikke-eksisterende konto) |
2027 |
Høj |
Vedholdenhed, rettighedseskalering, tværgående bevægelse |
|
Mistanke om DCShadow-angreb (forfremmelse af domænecontroller) |
2028 |
Høj |
Forsvarsunddragelse |
|
Mistanke om DCShadow-angreb (anmodning om replikering af domænecontroller) |
2029 |
Høj |
Forsvarsunddragelse |
|
Dataudfiltrering over SMB |
2030 |
Høj |
Eksfiltration, tværgående bevægelse, kommando og kontrol |
|
Mistænkelig kommunikation via DNS |
2031 |
Middel |
Eksfiltration |
|
Mistanke om brug af golden ticket (afvigelse i billet) |
2032 |
Høj |
Vedholdenhed, rettighedseskalering, tværgående bevægelse |
|
Mistænkt Brute Force-angreb (SMB) |
2033 |
Middel |
Tværgående bevægelse |
|
Mistanke om brug af Metasploit-hackingstruktur |
2034 |
Middel |
Tværgående bevægelse |
|
Mistanke om WannaCry ransomware-angreb |
2035 |
Middel |
Tværgående bevægelse |
|
Fjernkørsel af kode via DNS |
2036 |
Middel |
Tværgående bevægelse, rettighedseskalering |
|
Mistanke om NTLM-relæangreb |
2037 |
Mellem eller lav, hvis de observeres ved hjælp af signeret NTLM v2-protokol |
Tværgående bevægelse, rettighedseskalering |
|
Rekognoscering af sikkerhedsprincipal (LDAP) |
2038 |
Høj (i tilfælde af problemer med løsninger eller specifikt værktøj registreret) og mellem |
Adgang til legitimationsoplysninger |
|
Mistanke om manipulation af NTLM-godkendelse |
2039 |
Middel |
Tværgående bevægelse, rettighedseskalering |
|
Mistanke om brug af golden ticket (afvigelse i billet ved hjælp af RBCD) |
2040 |
Høj |
Persistens |
|
Mistanke om brug af Kerberos-certifikat |
2047 |
Høj |
Tværgående bevægelse |
|
Mistænkelig Kerberos-delegeringsforsøg ved hjælp af BronzeBit-metoden (CVE-2020-17049-udnyttelse) |
2048 |
Middel |
Adgang til legitimationsoplysninger |
|
LDAP (Active Directory-attributter reconnaissance) |
2210 |
Middel |
Opdagelse |
|
Mistænkt SMB pakke manipulation (CVE-2020-0796 udnyttelse) |
2406 |
Høj |
Tværgående bevægelse |
|
Mistanke om Kerberos SPN-eksponering |
2410 |
Høj |
Adgang til legitimationsoplysninger |
|
Mistanke om forsøg på udvidede Rettigheder i Netlogon (CVE-2020-1472 udnyttelse) |
2411 |
Høj |
Rettighedseskalering |
|
Mistanke om AS-REP-stegningsangreb |
2412 |
Høj |
Adgang til legitimationsoplysninger |
|
Mistanke om AD FS DKM-nøgle læst |
2413 |
Høj |
Adgang til legitimationsoplysninger |
|
Exchange Server fjernudførelse af kode (CVE-2021-26855) |
2414 |
Høj |
Tværgående bevægelse |
|
Mistanke om udnyttelsesforsøg på Tjenesten Windows Print Spooler |
2415 |
Høj eller mellem |
Tværgående bevægelse |
|
Mistænkelig netværksforbindelse via Encrypting File System Remote Protocol |
2416 |
Høj eller mellem |
Tværgående bevægelse |
|
Mistanke om mistænkelig Anmodning om Kerberos-billet |
2418 |
Høj |
Adgang til legitimationsoplysninger |
|
Mistænkelig ændring af attributten sAMNameAccount (CVE-2021-42278 og CVE-2021-42287 udnyttelse) |
2419 |
Høj |
Adgang til legitimationsoplysninger |
|
Mistænkelig ændring af AD FS-serverens tillidsforhold |
2420 |
Middel |
Rettighedseskalering |
|
Mistænkelig ændring af attributten dNSHostName (CVE-2022-26923) |
2421 |
Høj |
Rettighedseskalering |
|
Mistænkelig Kerberos-delegeringsforsøg fra en nyoprettet computer |
2422 |
Høj |
Rettighedseskalering |
|
Mistænkelig ændring af attributten Ressourcebaseret begrænset delegering af en computerkonto |
2423 |
Høj |
Rettighedseskalering |
|
ADFS-godkendelse (Abnorm Active Directory Federation Services) ved hjælp af et mistænkeligt certifikat |
2424 |
Høj |
Adgang til legitimationsoplysninger |
|
Mistænkelig brug af certifikat via Kerberos-protokollen (PKINIT) |
2425 |
Høj |
Tværgående bevægelse |
|
Mistanke om DFSCoerce-angreb ved hjælp af Distributed File System Protocol |
2426 |
Høj |
Adgang til legitimationsoplysninger |
|
Ændrede brugerattributter for honeytoken |
2427 |
Høj |
Persistens |
|
Medlemskabet af honeytokengruppen blev ændret |
2428 |
Høj |
Persistens |
|
Honeytoken blev forespurgt via LDAP |
2429 |
Lav |
Opdagelse |
|
Mistænkelig ændring af domæneadministrationsholder |
2430 |
Høj |
Persistens |
|
Mistanke om kontoovertagelse ved hjælp af skyggelegitimationsoplysninger |
2431 |
Høj |
Adgang til legitimationsoplysninger |
|
Anmodning om mistænkelig domænecontrollercertifikat (ESC8) |
2432 |
Høj |
Rettighedseskalering |
|
Mistænkelig sletning af poster i certifikatdatabasen |
2433 |
Middel |
Forsvarsunddragelse |
|
Mistænkelig deaktivering af overvågningsfiltre for AD CS |
2434 |
Middel |
Forsvarsunddragelse |
|
Mistænkelige ændringer af AD CS-sikkerhedstilladelser/-indstillinger |
2435 |
Middel |
Rettighedseskalering |
|
LDAP (Account Enumeration Reconnaissance) ( eksempelvisning) |
2437 |
Middel |
Kontoregistrering, domænekonto |
|
Ændring af adgangskode til gendannelsestilstand for Katalogtjenester |
2438 |
Middel |
Vedholdenhed, kontomanipulation |
|
Honeytoken blev forespurgt via SAM-R |
2439 |
Lav |
Opdagelse |
|
Gruppepolitik manipulation |
2440 |
Middel |
Forsvarsunddragelse |