KillChainIntent type
Definiert Werte für KillChainIntent.
KnownKillChainIntent kann austauschbar mit KillChainIntent verwendet werden. Diese Enumeration enthält die bekannten Werte, die der Dienst unterstützt.
Bekannte Werte, die vom Dienst unterstützt werden
Unbekannt: Der Standardwert.
Testen: Das Testen kann ein Versuch sein, unabhängig von einer böswilligen Absicht auf eine bestimmte Ressource zuzugreifen, oder ein fehlgeschlagener Versuch, Zugriff auf ein Zielsystem zu erhalten, um Vor der Ausnutzung Informationen zu sammeln. Dieser Schritt wird in der Regel als versuch erkannt, der von außerhalb des Netzwerks stammt, um das Zielsystem zu scannen und einen Weg zu finden.
Ausnutzung: Die Ausnutzung ist die Phase, in der ein Angreifer es schafft, auf der angegriffenen Ressource Fuß zu fassen. Diese Phase gilt nicht nur für Computehosts, sondern auch für Ressourcen wie Benutzerkonten, Zertifikate usw. Angreifer können die Ressource häufig nach dieser Phase steuern.
Persistenz: Persistenz ist jede Zugriffs-, Aktions- oder Konfigurationsänderung auf ein System, das einem Angreifer eine dauerhafte Präsenz auf diesem System verleiht. Angreifer müssen häufig den Zugriff auf Systeme durch Unterbrechungen wie Systemneustarts, Verlust von Anmeldeinformationen oder andere Fehler aufrechterhalten, bei denen ein Remotezugriffstool neu gestartet oder eine alternative Backdoor benötigt wird, damit sie den Zugriff wiedererlangen können.
PrivilegeEscalation: Die Rechteausweitung ist das Ergebnis von Aktionen, die es einem Angreifer ermöglichen, eine höhere Berechtigungsstufe für ein System oder Netzwerk zu erhalten. Bestimmte Tools oder Aktionen erfordern eine höhere Berechtigungsebene und sind wahrscheinlich an vielen Punkten während eines Vorgangs erforderlich. Benutzerkonten, die über Berechtigungen für den Zugriff auf bestimmte Systeme verfügen oder bestimmte Funktionen ausführen, die für Angreifer erforderlich sind, um Ihr Ziel zu erreichen, können auch als „Rechteausweitung“ angesehen werden.
DefenseEvasion: Defense Evasion besteht aus Techniken, die ein Angreifer verwenden kann, um der Erkennung zu entgehen oder andere Abwehrmaßnahmen zu vermeiden. Manchmal sind diese Aktionen identisch mit oder Variationen von Techniken in anderen Kategorien, die den zusätzlichen Vorteil haben, dass eine bestimmte Verteidigung oder Entschärfung unterwandert wird.
CredentialAccess: Der Zugriff auf Anmeldeinformationen stellt Techniken dar, die den Zugriff auf oder die Kontrolle über System-, Domänen- oder Dienstanmeldeinformationen ergeben, die in einer Unternehmensumgebung verwendet werden. Angreifer versuchen mit hoher Wahrscheinlichkeit, in den Besitz legitimer Anmeldeinformationen von Benutzern oder Administratorkonten (lokale Systemadministratoren oder Domänenbenutzer mit Administratorzugriff) zu gelangen, um diese im Netzwerk zu verwenden. Mit ausreichendem Zugriff innerhalb eines Netzwerks kann ein Angreifer Konten für die spätere Verwendung innerhalb der Umgebung erstellen.
Ermittlung: Die Ermittlung besteht aus Techniken, die es dem Angreifer ermöglichen, Kenntnisse über das System und das interne Netzwerk zu erlangen. Wenn Angreifer Zugriff auf ein neues System erhalten, müssen Sie sich an dem orientieren, was sie derzeit kontrollieren und welchen Nutzen der Betrieb aus diesem System heraus für ihr aktuelles Ziel oder ihre Gesamtziele während des Eindringens bietet. Das Betriebssystem stellt viele native Tools bereit, die in dieser Phase der Informationserfassung nach der Kompromittierung ausgenutzt werden können.
LateralMovement: Lateral Movement besteht aus Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk zuzugreifen und diese zu steuern, und kann, aber nicht notwendigerweise, die Ausführung von Tools auf Remotesystemen umfassen. Die Lateral-Movement-Techniken können einem Angreifer ermöglichen, Informationen von einem System zu erfassen, ohne dass zusätzliche Tools wie z.B. ein Remotezugriffstool erforderlich sind. Ein Angreifer kann Lateral-Movement für viele Zwecke verwenden, z.B., um Tools remote auszuführen, auf zusätzliche Systeme zu pivotieren, auf bestimmte Informationen oder Dateien zuzugreifen, auf zusätzliche Anmeldeinformationen zuzugreifen oder bestimmte Wirkungen zu erzielen.
Ausführung: Die Ausführungstaktik stellt Techniken dar, die zur Ausführung von durch Angreifer kontrolliertem Code auf einem lokalen oder Remotesystem führen. Diese Taktik wird häufig in Verbindung mit Lateral-Movement verwendet, um den Zugriff auf Remotesysteme in einem Netzwerk zu erweitern.
Sammlung: Die Sammlung besteht aus Techniken zum Identifizieren und Sammeln von Informationen, z. B. vertraulichen Dateien, aus einem Zielnetzwerk vor der Exfiltration. Diese Kategorie deckt auch Speicherorte in einem System oder Netzwerk ab, in denen der Angreifer nach Informationen für die Exfiltration suchen könnte.
Exfiltration: Exfiltration bezieht sich auf Techniken und Attribute, die dazu führen oder helfen, dass der Angreifer Dateien und Informationen aus einem Zielnetzwerk entfernt. Diese Kategorie deckt auch Speicherorte in einem System oder Netzwerk ab, in denen der Angreifer nach Informationen für die Exfiltration suchen könnte.
CommandAndControl: Die Befehls- und Steuerungstaktik stellt dar, wie Angreifer mit Systemen unter ihrer Kontrolle innerhalb eines Zielnetzwerks kommunizieren.
Auswirkung: Das primäre Ziel der Auswirkungsabsicht besteht darin, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks direkt zu reduzieren. einschließlich der Manipulation von Daten, um sich auf einen Geschäfts- oder Betriebsprozess zu auswirken. Dies bezieht sich häufig auf Techniken wie Lösegeld, Verunstaltung, Datenmanipulation und andere.
type KillChainIntent = string
Azure SDK for JavaScript