KillChainIntent type
Определяет значения для KillChainIntent.
KnownKillChainIntent можно использовать взаимозаменяемо с KillChainIntent. Это перечисление содержит известные значения, поддерживаемые службой.
Известные значения, поддерживаемые службой
Неизвестно: значение по умолчанию.
Проверка. Проверка может быть попыткой доступа к определенному ресурсу независимо от злонамеренного намерения или неудачной попыткой получить доступ к целевой системе для сбора информации до эксплуатации. Этот шаг обычно обнаруживается как попытка, исходящая из-за пределов сети, при попытке проверить целевую систему и найти способ входа.
Эксплуатация. Эксплуатация — это этап, на котором злоумышленнику удается закрепиться на атакуемом ресурсе. Этот этап применим не только к узлам вычислений, но и к таким ресурсам, как учетные записи пользователей, сертификаты и т. д. Злоумышленники часто смогут управлять ресурсом после этого этапа.
Сохраняемость. Сохраняемость — это любое изменение доступа, действия или конфигурации в системе, которое предоставляет злоумышленнику постоянное присутствие в этой системе. Злоумышленникам часто требуется поддерживать доступ к системам из-за прерываний, таких как перезапуск системы, потеря учетных данных или другие сбои, для которых потребуется перезапустить средство удаленного доступа или альтернативный backdoor для восстановления доступа.
PrivilegeEscalation. Повышение привилегий является результатом действий, которые позволяют злоумышленнику получить более высокий уровень разрешений в системе или сети. Некоторые инструменты или действия требуют более высокого уровня привилегий для работы и, вероятно, необходимы во многих точках на протяжении всей операции. Учетные записи пользователей с разрешениями на доступ к определенным системам или выполнение определенных функций, необходимых злоумышленникам для достижения их целей, также могут рассматриваться как повышение привилегий.
DefenseEvasion. Уклонение от защиты состоит из методов, которые злоумышленник может использовать для уклонения от обнаружения или предотвращения других средств защиты. Иногда эти действия совпадают с или вариантами методов в других категориях, которые имеют дополнительное преимущество подрыва определенной защиты или устранения рисков.
CredentialAccess. Доступ к учетным данным представляет методы, которые позволяют получить доступ к учетным данным системы, домена или службы или управлять ими, которые используются в корпоративной среде. Злоумышленники, скорее всего, попытаются получить допустимые учетные данные от пользователей или из учетных записей администраторов (локальных системных администраторов или пользователей домена с правами администратора) для использования в сети. С достаточными правами доступа в сети злоумышленник может создавать учетные записи для последующего использования в среде.
Обнаружение. Обнаружение состоит из методов, позволяющих злоумышленнику получить знания о системе и внутренней сети. Когда злоумышленники получают доступ к новой системе, они должны ориентироваться на то, что они теперь контролируют и какие выгоды можно получить от этой системы во время атаки. Операционная система предоставляет множество собственных средств, помогающих в этой фазе сбора информации после нарушения безопасности.
LateralMovement. Боковое смещение состоит из методов, которые позволяют злоумышленнику получать доступ к удаленным системам в сети и управлять ими и могут, но не обязательно, включать выполнение инструментов в удаленных системах. Методы горизонтального смещения позволяют злоумышленнику собирать информацию из системы без использования дополнительных средств, таких как средство удаленного доступа. Злоумышленник может использовать горизонтальное смещение для многих целей, в том числе для удаленного выполнения инструментов, доступа к дополнительным системам, доступа к определенной информации или файлам, доступа к дополнительным учетным данным или для прямого воздействия.
Выполнение. Тактика выполнения представляет методы, которые приводят к выполнению управляемого злоумышленником кода в локальной или удаленной системе. Эта тактика часто используется в сочетании с горизонтальным смещением для расширения доступа к удаленным системам в сети.
Коллекция. Коллекция состоит из методов, используемых для идентификации и сбора информации, например конфиденциальных файлов, из целевой сети перед кражей. Эта категория также включает в себя расположения в системе или сети, где злоумышленник может найти информацию для извлечения.
Кража. Кража относится к методам и атрибутам, которые приводят или помогают злоумышленнику удалить файлы и информацию из целевой сети. Эта категория также включает в себя расположения в системе или сети, где злоумышленник может найти информацию для извлечения.
CommandAndControl. Тактика управления и управления представляет, как злоумышленники взаимодействуют с системами под их контролем в целевой сети.
Влияние. Основная цель намерения воздействия — непосредственное снижение доступности или целостности системы, службы или сети; включая обработку данных для влияния на бизнес-процесс или рабочий процесс. Это часто относится к таким методам, как программы-шантажисты, дескрификация, манипуляция данными и другие.
type KillChainIntent = string
Azure SDK for JavaScript