|
Suspicion d’injection de SID-History |
1106 |
Élevé |
Réaffectation des privilèges |
|
Suspicion d’attaque overpass-the-hash (Kerberos) |
2002 |
Moyen |
Déplacement latéral |
|
Reconnaissance de l’énumération de compte |
2003 |
Moyen |
Découverte |
|
Suspicion d’attaque par force brute (LDAP) |
2004 |
Moyen |
Accès aux informations d’identification |
|
Suspicion d’attaque DCSync (réplication des services d’annuaire) |
2006 |
Élevé |
Accès aux informations d’identification, persistance |
|
Reconnaissance de mappage réseau (DNS) |
2007 |
Moyen |
Découverte |
|
Suspicion d’attaque over-pass-the-hash (type de chiffrement forcé) |
2008 |
Moyen |
Déplacement latéral |
|
Suspicion d’utilisation de Golden Ticket (passage à une version antérieure du chiffrement) |
2009 |
Moyen |
Persistance, Élévation des privilèges, Mouvement latéral |
|
Suspicion d’attaque Skeleton Key (passage à une version antérieure du chiffrement) |
2010 |
Moyen |
Persistance, mouvement latéral |
|
Reconnaissance des utilisateurs et des adresses IP (SMB) |
2012 |
Moyen |
Découverte |
|
Suspicion d’utilisation de Golden Ticket (données d’autorisation falsifiées) |
2013 |
Élevé |
Accès aux informations d’identification |
|
Activité d’authentification Honeytoken |
2014 |
Moyen |
Accès aux informations d’identification, découverte |
|
Suspicion d’usurpation d’identité (pass-the-hash) |
2017 |
Élevé |
Déplacement latéral |
|
Suspicion d’usurpation d’identité (pass-the-ticket) |
2018 |
Élevé ou moyen |
Déplacement latéral |
|
Tentative d’exécution de code à distance |
2019 |
Moyen |
Exécution, Persistance, Escalade de privilèges, Évasion de défense, Mouvement latéral |
|
Requête malveillante de la clé master de l’API de protection des données |
2020 |
Élevé |
Accès aux informations d’identification |
|
Reconnaissance de l’appartenance des utilisateurs et des groupes (SAMR) |
2021 |
Moyen |
Découverte |
|
Suspicion d’utilisation de Golden Ticket (anomalie de temps) |
2022 |
Élevé |
Persistance, Élévation des privilèges, Mouvement latéral |
|
Suspicion d’attaque par force brute (Kerberos, NTLM) |
2023 |
Moyen |
Accès aux informations d’identification |
|
Ajouts suspects à des groupes sensibles |
2024 |
Moyen |
Persistance, accès aux informations d’identification, |
|
Connexion VPN suspecte |
2025 |
Moyen |
Évasion de défense, Persistance |
|
Création d’un service suspect |
2026 |
Moyen |
Exécution, Persistance, Escalade des privilèges, Évasion de défense, Mouvement latéral |
|
Suspicion d’utilisation de Golden Ticket (compte inexistant) |
2027 |
Élevé |
Persistance, Élévation des privilèges, Mouvement latéral |
|
Suspicion d’attaque DCShadow (promotion du contrôleur de domaine) |
2028 |
Élevé |
Évasion de défense |
|
Suspicion d’attaque DCShadow (demande de réplication de contrôleur de domaine) |
2029 |
Élevé |
Évasion de défense |
|
Exfiltration de données sur SMB |
2030 |
Élevé |
Exfiltration, Mouvement latéral, Commande et contrôle |
|
Communication suspecte sur DNS |
2031 |
Moyen |
Exfiltration |
|
Suspicion d’utilisation de Golden Ticket (anomalie de ticket) |
2032 |
Élevé |
Persistance, Élévation des privilèges, Mouvement latéral |
|
Suspicion d’attaque par force brute (SMB) |
2033 |
Moyen |
Déplacement latéral |
|
Suspicion d’utilisation du framework de piratage Metasploit |
2034 |
Moyen |
Déplacement latéral |
|
Suspicion d’attaque par ransomware WannaCry |
2035 |
Moyen |
Déplacement latéral |
|
Exécution de code à distance via DNS |
2036 |
Moyen |
Mouvement latéral, Élévation de privilèges |
|
Suspicion d’attaque de relais NTLM |
2037 |
Moyen ou faible si observé à l’aide du protocole NTLM v2 signé |
Mouvement latéral, Élévation de privilèges |
|
Reconnaissance du principal de sécurité (LDAP) |
2038 |
Élevé (en cas de résolution de problèmes ou outil spécifique détecté) et Moyen |
Accès aux informations d’identification |
|
Suspicion de falsification de l’authentification NTLM |
2039 |
Moyen |
Mouvement latéral, Élévation de privilèges |
|
Suspicion d’utilisation de Golden Ticket (anomalie de ticket avec RBCD) |
2040 |
Élevé |
Persistance |
|
Suspicion d’utilisation d’un certificat Kerberos non autorisé |
2047 |
Élevé |
Déplacement latéral |
|
Tentative de délégation Kerberos suspecte à l’aide de la méthode BronzeBit (exploitation CVE-2020-17049) |
2048 |
Moyen |
Accès aux informations d’identification |
|
Reconnaissance des attributs Active Directory (LDAP) |
2210 |
Moyen |
Découverte |
|
Suspicion de manipulation de paquets SMB (exploitation CVE-2020-0796) |
2406 |
Élevé |
Déplacement latéral |
|
Suspicion d’exposition du SPN Kerberos |
2410 |
Élevé |
Accès aux informations d’identification |
|
Suspicion de tentative d’élévation de privilège Netlogon (exploitation CVE-2020-1472) |
2411 |
Élevé |
Réaffectation des privilèges |
|
Suspicion d’attaque de torréfaction AS-REP |
2412 |
Élevé |
Accès aux informations d’identification |
|
Suspicion de lecture de clé DKM AD FS |
2413 |
Élevé |
Accès aux informations d’identification |
|
exécution de code à distance Exchange Server (CVE-2021-26855) |
2414 |
Élevé |
Déplacement latéral |
|
Tentative d’exploitation suspectée sur le service Spouleur d’impression Windows |
2415 |
Élevé ou moyen |
Déplacement latéral |
|
Connexion réseau suspecte sur le protocole distant du système de fichiers |
2416 |
Élevé ou moyen |
Déplacement latéral |
|
Suspicion de demande de ticket Kerberos suspecte |
2418 |
Élevé |
Accès aux informations d’identification |
|
Modification suspecte d’un attribut sAMNameAccount (exploitation CVE-2021-42278 et CVE-2021-42287) |
2419 |
Élevé |
Accès aux informations d’identification |
|
Modification suspecte de la relation d’approbation du serveur AD FS |
2420 |
Moyen |
Réaffectation des privilèges |
|
Modification suspecte d’un attribut dNSHostName (CVE-2022-26923) |
2421 |
Élevé |
Réaffectation des privilèges |
|
Tentative de délégation Kerberos suspecte par un ordinateur nouvellement créé |
2422 |
Élevé |
Réaffectation des privilèges |
|
Modification suspecte de l’attribut de délégation contrainte basée sur les ressources par un compte d’ordinateur |
2423 |
Élevé |
Réaffectation des privilèges |
|
Authentification anormale Services ADFS (AD FS) à l’aide d’un certificat suspect |
2424 |
Élevé |
Accès aux informations d’identification |
|
Utilisation suspecte des certificats sur le protocole Kerberos (PKINIT) |
2425 |
Élevé |
Déplacement latéral |
|
Suspicion d’attaque DFSCoerce à l’aide du protocole Distributed File System |
2426 |
Élevé |
Accès aux informations d’identification |
|
Attributs utilisateur Honeytoken modifiés |
2427 |
Élevé |
Persistance |
|
Modification de l’appartenance au groupe Honeytoken |
2428 |
Élevé |
Persistance |
|
Honeytoken a été interrogé via LDAP |
2429 |
Faible |
Découverte |
|
Modification suspecte du domaine AdminSdHolder |
2430 |
Élevé |
Persistance |
|
Suspicion de prise de contrôle de compte à l’aide d’informations d’identification fantômes |
2431 |
Élevé |
Accès aux informations d’identification |
|
Demande de certificat de contrôleur de domaine suspecte (ESC8) |
2432 |
Élevé |
Escalade de privilèges |
|
Suppression suspecte des entrées de la base de données de certificats |
2433 |
Moyen |
Évasion de défense |
|
Désactivation suspecte des filtres d’audit d’AD CS |
2434 |
Moyen |
Évasion de défense |
|
Modifications suspectes des autorisations/paramètres de sécurité AD CS |
2435 |
Moyen |
Escalade de privilèges |
|
Reconnaissance d’énumération de compte (LDAP) (préversion) |
2437 |
Moyen |
Découverte de compte, compte de domaine |
|
Modification du mot de passe du mode de restauration des services d’annuaire |
2438 |
Moyen |
Persistance, manipulation de compte |
|
Honeytoken a été interrogé via SAM-R |
2439 |
Faible |
Découverte |
|
stratégie de groupe Falsification |
2440 |
Moyen |
Évasion de défense |