|
Podejrzenie wstrzyknięcia SID-History |
1106 |
High (Wysoki) |
Eskalacja uprawnień |
|
Podejrzenie ataku typu overpass-the-hash (Kerberos) |
2002 |
Średnie |
Ruch boczny |
|
Rekonesans wyliczania konta |
2003 |
Średnie |
Odkrycie |
|
Podejrzenie ataku siłowego (LDAP) |
2004 |
Średnie |
Dostęp poświadczeń |
|
Podejrzenie ataku DCSync (replikacja usług katalogowych) |
2006 |
High (Wysoki) |
Dostęp poświadczeń, trwałość |
|
Rekonesans mapowania sieci (DNS) |
2007 |
Średnie |
Odkrycie |
|
Podejrzenie ataku typu over-pass-the-hash (typ wymuszonego szyfrowania) |
2008 |
Średnie |
Ruch boczny |
|
Podejrzenie użycia złotego biletu (obniżenie poziomu szyfrowania) |
2009 |
Średnie |
Trwałość, eskalacja uprawnień, ruch boczny |
|
Podejrzenie ataku na klucz szkieletu (obniżenie poziomu szyfrowania) |
2010 |
Średnie |
Trwałość, ruch boczny |
|
Rekonesans adresów IP i użytkownika (SMB) |
2012 |
Średnie |
Odkrycie |
|
Podejrzenie użycia złotego biletu (sfałszowane dane autoryzacji) |
2013 |
High (Wysoki) |
Dostęp poświadczeń |
|
Działanie uwierzytelniania w trybie honeytoken |
2014 |
Średnie |
Dostęp poświadczeń, odnajdywanie |
|
Podejrzenie kradzieży tożsamości (pass-the-hash) |
2017 |
High (Wysoki) |
Ruch boczny |
|
Podejrzenie kradzieży tożsamości (pass-the-ticket) |
2018 |
Wysoki lub średni |
Ruch boczny |
|
Zdalna próba wykonania kodu |
2019 |
Średnie |
Wykonywanie, trwałość, eskalacja uprawnień, uchylanie się od obrony, ruch boczny |
|
Złośliwe żądanie klucza głównego interfejsu API ochrony danych |
2020 |
High (Wysoki) |
Dostęp poświadczeń |
|
Rekonesans członkostwa użytkowników i grup (SAMR) |
2021 |
Średnie |
Odkrycie |
|
Podejrzenie użycia złotego biletu (anomalia czasu) |
2022 |
High (Wysoki) |
Trwałość, eskalacja uprawnień, ruch boczny |
|
Podejrzenie ataku siłowego (Kerberos, NTLM) |
2023 |
Średnie |
Dostęp poświadczeń |
|
Podejrzane dodatki do grup poufnych |
2024 |
Średnie |
Trwałość, dostęp poświadczeń, |
|
Podejrzane połączenie sieci VPN |
2025 |
Średnie |
Uchylanie się od obrony, trwałość |
|
Podejrzane tworzenie usługi |
2026 |
Średnie |
Wykonywanie, trwałość, eskalacja uprawnień, uchylanie się od obrony, ruch boczny |
|
Podejrzenie użycia złotego biletu (nieistniejące konto) |
2027 |
High (Wysoki) |
Trwałość, eskalacja uprawnień, ruch boczny |
|
Podejrzenie ataku DCShadow (podwyższanie poziomu kontrolera domeny) |
2028 |
High (Wysoki) |
Uchylanie się od obrony |
|
Podejrzenie ataku DCShadow (żądanie replikacji kontrolera domeny) |
2029 |
High (Wysoki) |
Uchylanie się od obrony |
|
Eksfiltracja danych za pośrednictwem protokołu SMB |
2030 |
High (Wysoki) |
Eksfiltracja, ruch boczny, polecenie i kontrolka |
|
Podejrzana komunikacja za pośrednictwem systemu DNS |
2031 |
Średnie |
Eksfiltracja |
|
Podejrzenie użycia złotego biletu (anomalia biletu) |
2032 |
High (Wysoki) |
Trwałość, eskalacja uprawnień, ruch boczny |
|
Podejrzenie ataku siłowego (SMB) |
2033 |
Średnie |
Ruch boczny |
|
Podejrzenie użycia platformy hakerskiej Metasploit |
2034 |
Średnie |
Ruch boczny |
|
Podejrzenie ataku ransomware WannaCry |
2035 |
Średnie |
Ruch boczny |
|
Zdalne wykonywanie kodu za pośrednictwem systemu DNS |
2036 |
Średnie |
Ruch boczny, eskalacja uprawnień |
|
Podejrzenie ataku przekaźnika NTLM |
2037 |
Średni lub niski, jeśli jest obserwowany przy użyciu podpisanego protokołu NTLM w wersji 2 |
Ruch boczny, eskalacja uprawnień |
|
Rekonesans podmiotu zabezpieczeń (LDAP) |
2038 |
Wysoki (w przypadku rozwiązania problemów lub wykrytego określonego narzędzia) i Średni |
Dostęp poświadczeń |
|
Podejrzenie naruszenia uwierzytelniania NTLM |
2039 |
Średnie |
Ruch boczny, eskalacja uprawnień |
|
Podejrzenie użycia złotego biletu (anomalia biletu przy użyciu RBCD) |
2040 |
High (Wysoki) |
Wytrwałość |
|
Podejrzenie użycia nieautoryzowanego certyfikatu Kerberos |
2047 |
High (Wysoki) |
Ruch boczny |
|
Podejrzana próba delegowania protokołu Kerberos przy użyciu metody BronzeBit (eksploatacja CVE-2020-17049) |
2048 |
Średnie |
Dostęp poświadczeń |
|
Rekonesans atrybutów usługi Active Directory (LDAP) |
2210 |
Średnie |
Odkrycie |
|
Podejrzenie manipulowania pakietami SMB (CVE-2020-0796) |
2406 |
High (Wysoki) |
Ruch boczny |
|
Podejrzenie ujawnienia nazwy SPN protokołu Kerberos |
2410 |
High (Wysoki) |
Dostęp poświadczeń |
|
Podejrzenie próby podniesienia uprawnień netlogonu (CVE-2020-1472) |
2411 |
High (Wysoki) |
Eskalacja uprawnień |
|
Podejrzenie ataku AS-REP Roasting |
2412 |
High (Wysoki) |
Dostęp poświadczeń |
|
Podejrzenie odczytu klucza DKM usług AD FS |
2413 |
High (Wysoki) |
Dostęp poświadczeń |
|
Exchange Server zdalne wykonywanie kodu (CVE-2021-26855) |
2414 |
High (Wysoki) |
Ruch boczny |
|
Podejrzenie próby wykorzystania w usłudze Bufor wydruku systemu Windows |
2415 |
Wysoki lub średni |
Ruch boczny |
|
Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików |
2416 |
Wysoki lub średni |
Ruch boczny |
|
Podejrzane żądanie biletu Kerberos |
2418 |
High (Wysoki) |
Dostęp poświadczeń |
|
Podejrzana modyfikacja atrybutu sAMNameAccount (CVE-2021-42278 i CVE-2021-42287) |
2419 |
High (Wysoki) |
Dostęp poświadczeń |
|
Podejrzana modyfikacja relacji zaufania serwera usług AD FS |
2420 |
Średnie |
Eskalacja uprawnień |
|
Podejrzana modyfikacja atrybutu dNSHostName (CVE-2022-26923) |
2421 |
High (Wysoki) |
Eskalacja uprawnień |
|
Podejrzana próba delegowania protokołu Kerberos przez nowo utworzony komputer |
2422 |
High (Wysoki) |
Eskalacja uprawnień |
|
Podejrzana modyfikacja atrybutu ograniczone delegowanie oparte na zasobach przez konto maszyny |
2423 |
High (Wysoki) |
Eskalacja uprawnień |
|
Nietypowe uwierzytelnianie Active Directory Federation Services (AD FS) przy użyciu podejrzanego certyfikatu |
2424 |
High (Wysoki) |
Dostęp poświadczeń |
|
Podejrzane użycie certyfikatu za pośrednictwem protokołu Kerberos (PKINIT) |
2425 |
High (Wysoki) |
Ruch boczny |
|
Podejrzenie ataku DFSCoerce przy użyciu protokołu rozproszonego systemu plików |
2426 |
High (Wysoki) |
Dostęp poświadczeń |
|
Zmodyfikowano atrybuty użytkownika z błędem Honeytoken |
2427 |
High (Wysoki) |
Wytrwałość |
|
Zmieniono członkostwo w grupie honeytoken |
2428 |
High (Wysoki) |
Wytrwałość |
|
Kwerenda o honeytoken była wysyłana za pośrednictwem protokołu LDAP |
2429 |
Niski |
Odkrycie |
|
Podejrzana modyfikacja symbolu AdminSdHolder domeny |
2430 |
High (Wysoki) |
Wytrwałość |
|
Podejrzenie przejęcia konta przy użyciu poświadczeń w tle |
2431 |
High (Wysoki) |
Dostęp poświadczeń |
|
Podejrzane żądanie certyfikatu kontrolera domeny (ESC8) |
2432 |
High (Wysoki) |
Eskalacja uprawnień |
|
Podejrzane usuwanie wpisów bazy danych certyfikatów |
2433 |
Średnie |
Uchylanie się od obrony |
|
Podejrzane wyłączenie filtrów inspekcji usługi AD CS |
2434 |
Średnie |
Uchylanie się od obrony |
|
Podejrzane modyfikacje uprawnień/ustawień zabezpieczeń usługi AD CS |
2435 |
Średnie |
Eskalacja uprawnień |
|
Rekonesans wyliczenia konta (LDAP) (wersja zapoznawcza) |
2437 |
Średnie |
Odnajdywanie konta, konto domeny |
|
Zmiana hasła trybu przywracania usług katalogowych |
2438 |
Średnie |
Trwałość, manipulowanie kontami |
|
Kwerenda o honeytoken była wysyłana za pośrednictwem języka SAM-R |
2439 |
Niski |
Odkrycie |
|
manipulowanie zasady grupy |
2440 |
Średnie |
Uchylanie się od obrony |