KillChainIntent type
Définit des valeurs pour KillChainIntent.
KnownKillChainIntent peut être utilisé indifféremment avec KillChainIntent. Cette énumération contient les valeurs connues que le service prend en charge.
Valeurs connues prises en charge par le service
Inconnu : valeur par défaut.
Sondage : le sondage peut être une tentative d’accès à une certaine ressource, quelle que soit l’intention malveillante ou une tentative infructueuse d’accès à un système cible pour collecter des informations avant l’exploitation. Cette étape est généralement détectée comme une tentative provenant de l’extérieur du réseau dans le but d’analyser le système cible et de trouver un chemin.
Exploitation : l’exploitation est l’étape où un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape s’applique non seulement aux hôtes de calcul, mais également aux ressources telles que les comptes d’utilisateur, les certificats, etc. Les adversaires pourront souvent contrôler la ressource après cette étape.
Persistance : la persistance est toute modification d’accès, d’action ou de configuration apportée à un système qui donne à un adversaire une présence persistante sur ce système. Les adversaires doivent souvent conserver l’accès aux systèmes par le biais d’interruptions telles que des redémarrages du système, une perte d’informations d’identification ou d’autres défaillances qui nécessiteraient un outil d’accès à distance pour redémarrer ou une autre porte dérobée pour qu’ils retrouvent l’accès.
PrivilegeEscalation : l’escalade des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisations plus élevé sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur et sont probablement requis à de nombreuses reprises au cours d’une opération. Les comptes d’utilisateurs ayant des autorisations pour accéder à certains systèmes ou exécuter des fonctions spécifiques nécessaires pour permettre aux adversaires d’atteindre leurs objectifs peuvent également être considérés comme une élévation de privilèges.
DefenseEvasion : L’évasion de défense se compose de techniques qu’un adversaire peut utiliser pour échapper à la détection ou éviter d’autres défenses. Parfois, ces actions sont les mêmes que ou des variantes de techniques dans d’autres catégories qui ont l’avantage supplémentaire de subvertir une défense ou une atténuation particulière.
CredentialAccess : l’accès aux informations d’identification représente les techniques qui permettent d’accéder aux informations d’identification système, de domaine ou de service utilisées dans un environnement d’entreprise ou de contrôler celles-ci. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateurs (administrateur système local ou utilisateurs de domaine avec accès administrateur) afin de les utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure au sein de l’environnement.
Découverte : la découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque des adversaires parviennent à accéder à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent désormais et ce que le fonctionnement à partir de ce système apporte à leur objectif actuel ou global pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs utiles lors de cette phase de collecte d’informations après compromission.
LateralMovement : le mouvement latéral se compose de techniques qui permettent à un adversaire d’accéder aux systèmes distants d’un réseau et de les contrôler et qui peuvent, mais pas nécessairement, inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral peuvent permettre à un adversaire de recueillir des informations auprès d’un système sans recourir à des outils supplémentaires tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution d’outils à distance, le glissement vers des systèmes supplémentaires, l’accès à des informations ou fichiers spécifiques, l’accès à des informations d’identification supplémentaires, ou dans le but de causer un effet.
Exécution : la tactique d’exécution représente des techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès à des systèmes distants sur un réseau.
Collection : la collection se compose de techniques utilisées pour identifier et collecter des informations, telles que des fichiers sensibles, à partir d’un réseau cible avant l’exfiltration. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer.
Exfiltration : l’exfiltration fait référence aux techniques et attributs qui entraînent ou aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer.
CommandAndControl : la tactique de commande et de contrôle représente la façon dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible.
Impact : L’objectif principal de l’intention d’impact est de réduire directement la disponibilité ou l’intégrité d’un système, d’un service ou d’un réseau; y compris la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Cela fait souvent référence à des techniques telles que les rançongiciels, le defacement, la manipulation de données, etc.
type KillChainIntent = string
Azure SDK for JavaScript