|
Epäilty SID-History ruiske |
1106 |
Korkea |
Oikeuksien eskalointi |
|
Epäilty ylikulkusyös ja hajautuskoodihyökkäys (Kerberos) |
2002 |
Normaali |
Sivusuuntainen liike |
|
Tilin luetteloinnin tiedustelu |
2003 |
Normaali |
Löytö |
|
Epäilty brute force -hyökkäys (LDAP) |
2004 |
Normaali |
Tunnistetietojen käyttö |
|
Epäilty DCSync-hyökkäys (hakemistopalvelujen replikointi) |
2006 |
Korkea |
Tunnistetietojen käyttö, pysyvyys |
|
Verkkomääritysten tiedustelu (DNS) |
2007 |
Normaali |
Löytö |
|
Epäilty ylipäästö hash-hyökkäys (pakotettu salaustyyppi) |
2008 |
Normaali |
Sivusuuntainen liike |
|
Epäilty Golden Ticket -käyttö (salauksen alentaminen) |
2009 |
Normaali |
Pysyvyys, oikeuksien eskalointi, sivuttaisliike |
|
Epäilty Skeleton Key -hyökkäys (salauksen alentaminen) |
2010 |
Normaali |
Pysyvyys, sivuttaisliike |
|
Käyttäjän ja IP-osoitteen tiedustelu (SMB) |
2012 |
Normaali |
Löytö |
|
Epäilty Golden Ticket -käyttö (taotut valtuutustiedot) |
2013 |
Korkea |
Tunnistetietojen käyttö |
|
Honeytoken-todennustoiminta |
2014 |
Normaali |
Tunnistetietojen käyttö, etsintä |
|
Epäilty identiteettivarkaus (pass-the-hash) |
2017 |
Korkea |
Sivusuuntainen liike |
|
Epäilty identiteettivarkaus (lipun läpäiseminen) |
2018 |
Suuri tai keskikoko |
Sivusuuntainen liike |
|
Etäkoodin suoritusyritys |
2019 |
Normaali |
Suoritus, pysyvyys, oikeuksien eskalointi, puolustuksen välttely, sivuttaisliike |
|
Tietojen suojaamisen ohjelmointirajapinnan pääavaimen haitallinen pyyntö |
2020 |
Korkea |
Tunnistetietojen käyttö |
|
Käyttäjien ja ryhmien jäsenyyksien tiedustelu (SAMR) |
2021 |
Normaali |
Löytö |
|
Epäilty Golden Ticket -käyttö (aikapoikkeama) |
2022 |
Korkea |
Pysyvyys, oikeuksien eskalointi, sivuttaisliike |
|
Epäilty Brute Forcen hyökkäys (Kerberos, NTLM) |
2023 |
Normaali |
Tunnistetietojen käyttö |
|
Epäilyttäviä lisäyksiä luottamuksellisiin ryhmiin |
2024 |
Normaali |
Pysyvyys, tunnistetietojen käyttö, |
|
Epäilyttävä VPN-yhteys |
2025 |
Normaali |
Puolustuksen välttely, sinnikkyys |
|
Epäilyttävä palvelun luominen |
2026 |
Normaali |
Teloitus, pysyvyys, oikeuksien eskalointi, puolustuksen välttely, sivuttaisliike |
|
Epäilty Golden Ticket -käyttö (tili, jota ei ole) |
2027 |
Korkea |
Pysyvyys, oikeuksien eskalointi, sivuttaisliike |
|
Epäilty DCShadow-hyökkäys (toimialueen ohjauskoneen ylentäminen) |
2028 |
Korkea |
Puolustuksen välttely |
|
Epäilty DCShadow-hyökkäys (toimialueen ohjauskoneen replikointipyyntö) |
2029 |
Korkea |
Puolustuksen välttely |
|
Tietojen suodatus yli SMB:n |
2030 |
Korkea |
Suodatus, sivuttainen liike, komento ja hallinta |
|
Epäilyttävä viestintä DNS:n avulla |
2031 |
Normaali |
Suodatus |
|
Epäilty Golden Ticket -käyttö (lipun poikkeama) |
2032 |
Korkea |
Pysyvyys, oikeuksien eskalointi, sivuttaisliike |
|
Epäilty raakalaisväkihyökkäys (SMB) |
2033 |
Normaali |
Sivusuuntainen liike |
|
Epäillään Metasploit-hakkerointikehyksen käyttöä |
2034 |
Normaali |
Sivusuuntainen liike |
|
Epäilty WannaCry-kiristyshaittaohjelmahyökkäys |
2035 |
Normaali |
Sivusuuntainen liike |
|
Etäkoodin suorittaminen DNS:n kautta |
2036 |
Normaali |
Sivusuuntainen liike, Etuoikeuden eskalointi |
|
Epäilty NTLM-välityshyökkäys |
2037 |
Keskikokoinen tai pieni, jos se havaitaan allekirjoitetun NTLM v2 -protokollan avulla |
Sivusuuntainen liike, Etuoikeuden eskalointi |
|
Suojauksen päänimen tiedustelu (LDAP) |
2038 |
Suuri (jos ratkaisuja havaitaan tai tiettyä työkalua havaitaan) ja Keskikoko |
Tunnistetietojen käyttö |
|
Epäilty NTLM-todennuksen peukalointi |
2039 |
Normaali |
Sivusuuntainen liike, Etuoikeuden eskalointi |
|
Epäilty Golden Ticket -käyttö (lippujen poikkeama RBCD:n avulla) |
2040 |
Korkea |
Sitkeys |
|
Epäilty kerberos-varmenteen käyttö |
2047 |
Korkea |
Sivusuuntainen liike |
|
Epäilyttävä Kerberos-delegointiyritys bronzebit-menetelmän avulla (CVE-2020-17049-hyödyntäminen) |
2048 |
Normaali |
Tunnistetietojen käyttö |
|
Active Directory -määritteiden tiedustelu (LDAP) |
2210 |
Normaali |
Löytö |
|
Epäilty SMB-pakettikäsittely (CVE-2020-0796 hyödyntäminen) |
2406 |
Korkea |
Sivusuuntainen liike |
|
Epäilty Kerberos-palvelun päänimen altistuminen |
2410 |
Korkea |
Tunnistetietojen käyttö |
|
Epäillään Netlogon-oikeuksien korotusta (CVE-2020-1472-hyväksikäyttö) |
2411 |
Korkea |
Oikeuksien eskalointi |
|
Epäilty AS-REP-paahtamishyökkäys |
2412 |
Korkea |
Tunnistetietojen käyttö |
|
Epäilty AD FS DKM -avain luettu |
2413 |
Korkea |
Tunnistetietojen käyttö |
|
Exchange Server etäkoodin suorittaminen (CVE-2021-26855) |
2414 |
Korkea |
Sivusuuntainen liike |
|
Epäilty hyväksikäyttöyritys Windows Print Spooler -palvelussa |
2415 |
Suuri tai keskikoko |
Sivusuuntainen liike |
|
Epäilyttävä verkkoyhteys tiedostojärjestelmän etäprotokollan salauksen aikana |
2416 |
Suuri tai keskikoko |
Sivusuuntainen liike |
|
Epäillään epäilyttävää Kerberos-lippupyyntöä |
2418 |
Korkea |
Tunnistetietojen käyttö |
|
Epäilyttävä sAMNameAccount-määritteen (CVE-2021-42278 ja CVE-2021-42287 hyödyntäminen) epäilyttävä muokkaaminen |
2419 |
Korkea |
Tunnistetietojen käyttö |
|
AD FS -palvelimen luottamussuhteen epäilyttävä muokkaaminen |
2420 |
Normaali |
Oikeuksien eskalointi |
|
Epäilyttävä dNSHostName-määritteen muokkaaminen (CVE-2022-26923) |
2421 |
Korkea |
Oikeuksien eskalointi |
|
Epäilyttävä Kerberos-delegointiyritys juuri luodulla tietokoneella |
2422 |
Korkea |
Oikeuksien eskalointi |
|
Tietokonetilin epäilyttävä resurssipohjaisen rajoitetun delegoinnin määritteen muuttaminen |
2423 |
Korkea |
Oikeuksien eskalointi |
|
Epänormaali Active Directory -liittoutumispalvelut (AD FS) -todennus epäilyttävää varmennetta käyttäen |
2424 |
Korkea |
Tunnistetietojen käyttö |
|
Epäilyttävä varmenteen käyttö Kerberos-protokollan (PKINIT) välityksellä |
2425 |
Korkea |
Sivusuuntainen liike |
|
Epäilty DFSCoerce-hyökkäys hajautetun tiedostojärjestelmän protokollan avulla |
2426 |
Korkea |
Tunnistetietojen käyttö |
|
Honeytoken-käyttäjän määritteitä muokattu |
2427 |
Korkea |
Sitkeys |
|
Honeytoken-ryhmän jäsenyys muuttui |
2428 |
Korkea |
Sitkeys |
|
Honeytokenille tehtiin kysely LDAP:n kautta |
2429 |
Matala |
Löytö |
|
Toimialueen järjestelmänvalvojan SdHolderin epäilyttävä muokkaus |
2430 |
Korkea |
Sitkeys |
|
Epäilty tilin haltuunotto varjotunnistetiedoilla |
2431 |
Korkea |
Tunnistetietojen käyttö |
|
Epäilyttävä toimialueen ohjauskoneen varmennepyyntö (ESC8) |
2432 |
Korkea |
Oikeuksien eskalointi |
|
Varmennetietokantamerkintöjen epäilyttävä poistaminen |
2433 |
Normaali |
Puolustuksen välttely |
|
Epäilyttävä AD CS:n valvontasuodattimien käytöstä poistaminen |
2434 |
Normaali |
Puolustuksen välttely |
|
Epäilyttävät muutokset AD CS -suojauksen käyttöoikeuksiin/asetuksiin |
2435 |
Normaali |
Oikeuksien eskalointi |
|
Tilin luettelointitietotieto (LDAP) (esikatselu) |
2437 |
Normaali |
Tilin etsiminen, toimialuetili |
|
Hakemistopalvelujen palautustilan salasanan vaihtaminen |
2438 |
Normaali |
Pysyvyys, Tilin käsittely |
|
Honeytokenille tehtiin kysely SAM-R:n kautta |
2439 |
Matala |
Löytö |
|
ryhmäkäytäntö peukalointi |
2440 |
Normaali |
Puolustuksen välttely |