KnownKillChainIntent enum
Valeurs connues de KillChainIntent que le service accepte.
Champs
| Collection | La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer. |
| CommandAndControl | La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible. |
| CredentialAccess | L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service, qui sont utilisées au sein d’un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateurs (administrateur système local ou utilisateurs de domaine avec accès administrateur) afin de les utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure au sein de l’environnement. |
| DefenseEvasion | L’évasion de défense se compose de techniques que peut utiliser un adversaire pour échapper à la détection ou contourner d’autres défenses. Parfois, ces actions sont les mêmes que ou des variantes de techniques dans d’autres catégories qui ont l’avantage supplémentaire de subvertir une défense ou une atténuation particulière. |
| Discovery | La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque des adversaires parviennent à accéder à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent désormais et ce que le fonctionnement à partir de ce système apporte à leur objectif actuel ou global pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs utiles lors de cette phase de collecte d’informations après compromission. |
| Execution | La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès à des systèmes distants sur un réseau. |
| Exfiltration | L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer. |
| Exploitation | L’exploitation est l’étape où un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape s’applique non seulement aux hôtes de calcul, mais également aux ressources telles que les comptes d’utilisateur, les certificats, etc. Les adversaires pourront souvent contrôler la ressource après cette étape. |
| Impact | L’objectif principal de l’intention d’impact est de réduire directement la disponibilité ou l’intégrité d’un système, d’un service ou d’un réseau; y compris la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Cela fait souvent référence à des techniques telles que les rançongiciels, le defacement, la manipulation de données, etc. |
| LateralMovement | Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral peuvent permettre à un adversaire de recueillir des informations auprès d’un système sans recourir à des outils supplémentaires tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution d’outils à distance, le glissement vers des systèmes supplémentaires, l’accès à des informations ou fichiers spécifiques, l’accès à des informations d’identification supplémentaires, ou dans le but de causer un effet. |
| Persistence | La persistance est toute modification d’accès, d’action ou de configuration apportée à un système qui donne à un adversaire une présence persistante sur ce système. Les adversaires doivent souvent conserver l’accès aux systèmes par le biais d’interruptions telles que des redémarrages du système, une perte d’informations d’identification ou d’autres défaillances qui nécessiteraient un outil d’accès à distance pour redémarrer ou une autre porte dérobée pour qu’ils retrouvent l’accès. |
| PrivilegeEscalation | L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur et sont probablement requis à de nombreuses reprises au cours d’une opération. Les comptes d’utilisateurs ayant des autorisations pour accéder à certains systèmes ou exécuter des fonctions spécifiques nécessaires pour permettre aux adversaires d’atteindre leurs objectifs peuvent également être considérés comme une élévation de privilèges. |
| Probing | Le sondage peut être une tentative d’accès à une certaine ressource, quelle que soit une intention malveillante ou une tentative d’accès infructueuse à un système cible pour collecter des informations avant l’exploitation. Cette étape est généralement détectée comme une tentative provenant de l’extérieur du réseau dans le but d’analyser le système cible et de trouver un chemin. |
| Unknown | Valeur par défaut. |
Azure SDK for JavaScript