|
Gyanús SID-History injekció |
1106 |
Magas |
Jogosultságok eszkalálása |
|
Vélhetően felüljáró-a-hash támadás (Kerberos) |
2002 |
Közepes |
Oldalirányú mozgás |
|
Fiók számbavételének felderítése |
2003 |
Közepes |
Felfedezés |
|
Gyanús találgatásos támadás (LDAP) |
2004 |
Közepes |
Hitelesítő adatokhoz való hozzáférés |
|
DCSync-támadás gyanúja (címtárszolgáltatások replikálása) |
2006 |
Magas |
Hitelesítő adatokhoz való hozzáférés, adatmegőrzés |
|
Hálózatleképezés felderítése (DNS) |
2007 |
Közepes |
Felfedezés |
|
Vélhetően túllépéses hash támadás (kényszerített titkosítási típus) |
2008 |
Közepes |
Oldalirányú mozgás |
|
Golden Ticket-használat gyanúja (titkosítás visszalépése) |
2009 |
Közepes |
Adatmegőrzés, jogosultságeszkaláció, oldalirányú mozgás |
|
Gyanús csontvázkulcs-támadás (titkosítás visszalépése) |
2010 |
Közepes |
Adatmegőrzés, oldalirányú mozgás |
|
Felhasználói és IP-címek felderítése (SMB) |
2012 |
Közepes |
Felfedezés |
|
Gyanús aranyjegy-használat (hamisított engedélyezési adatok) |
2013 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
|
Honeytoken hitelesítési tevékenység |
2014 |
Közepes |
Hitelesítő adatokhoz való hozzáférés, Felderítés |
|
Személyazonossággal való visszaélés gyanúja (pass-the-hash) |
2017 |
Magas |
Oldalirányú mozgás |
|
Személyazonosság-lopás gyanúja (pass-the-ticket) |
2018 |
Magas vagy közepes |
Oldalirányú mozgás |
|
Távoli kódvégrehajtási kísérlet |
2019 |
Közepes |
Végrehajtás, megőrzés, jogosultságeszkaláció, védelmi kijátszás, oldalirányú mozgás |
|
A Data Protection API főkulcsának rosszindulatú kérése |
2020 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
|
Felhasználó- és csoporttagság-felderítés (SAMR) |
2021 |
Közepes |
Felfedezés |
|
Golden Ticket-használat gyanúja (időanomália) |
2022 |
Magas |
Adatmegőrzés, jogosultságeszkaláció, oldalirányú mozgás |
|
Feltételezett találgatásos támadás (Kerberos, NTLM) |
2023 |
Közepes |
Hitelesítő adatokhoz való hozzáférés |
|
Gyanús hozzáadások bizalmas csoportokhoz |
2024 |
Közepes |
Adatmegőrzés, hitelesítő adatokhoz való hozzáférés, |
|
Gyanús VPN-kapcsolat |
2025 |
Közepes |
Védelem kijátszása, kitartás |
|
Gyanús szolgáltatás létrehozása |
2026 |
Közepes |
Végrehajtás, megőrzés, jogosultságeszkaláció, védelmi kijátszás, oldalirányú mozgás |
|
Aranyjegy használatának gyanúja (nem létező fiók) |
2027 |
Magas |
Adatmegőrzés, jogosultságeszkaláció, oldalirányú mozgás |
|
DCShadow-támadás gyanúja (tartományvezérlő előléptetése) |
2028 |
Magas |
Védelem kijátszása |
|
DCShadow-támadás gyanúja (tartományvezérlő replikációs kérése) |
2029 |
Magas |
Védelem kijátszása |
|
Adatkiszivárgás SMB-en keresztül |
2030 |
Magas |
Exfiltration, Lateral movement, Command and control |
|
Gyanús kommunikáció DNS-en keresztül |
2031 |
Közepes |
Kiszivárgás |
|
Gyanús aranyjegy-használat (jegyanomália) |
2032 |
Magas |
Adatmegőrzés, jogosultságeszkaláció, oldalirányú mozgás |
|
Feltételezett találgatásos támadás (SMB) |
2033 |
Közepes |
Oldalirányú mozgás |
|
A Metasploit hacking keretrendszer feltételezett használata |
2034 |
Közepes |
Oldalirányú mozgás |
|
WannaCry zsarolóprogram-támadás gyanúja |
2035 |
Közepes |
Oldalirányú mozgás |
|
Távoli kódvégrehajtás DNS-en keresztül |
2036 |
Közepes |
Oldalirányú mozgás, jogosultságeszkaláció |
|
NTLM relay-támadás gyanúja |
2037 |
Közepes vagy alacsony, ha aláírt NTLM v2 protokoll használatával figyelhető meg |
Oldalirányú mozgás, jogosultságeszkaláció |
|
Rendszerbiztonsági tag felderítése (LDAP) |
2038 |
Magas (esetmegoldási problémák vagy adott eszköz észlelése esetén) és közepes |
Hitelesítő adatokhoz való hozzáférés |
|
Gyanús NTLM-hitelesítés illetéktelen módosításával |
2039 |
Közepes |
Oldalirányú mozgás, jogosultságeszkaláció |
|
Aranyjegy használatának gyanúja (jegyanomália az RBCD használatával) |
2040 |
Magas |
Kitartás |
|
Gyanús, rosszindulatú Kerberos-tanúsítványhasználat |
2047 |
Magas |
Oldalirányú mozgás |
|
Gyanús Kerberos-delegálási kísérlet BronzeBit metódussal (CVE-2020-17049 kihasználtság) |
2048 |
Közepes |
Hitelesítő adatokhoz való hozzáférés |
|
Active Directory-attribútumok felderítése (LDAP) |
2210 |
Közepes |
Felfedezés |
|
SMB-csomagok feltételezett manipulálása (CVE-2020-0796 kihasználása) |
2406 |
Magas |
Oldalirányú mozgás |
|
Kerberos SPN-kitettség gyanúja |
2410 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
|
Netlogon jogosultságszint-emelési kísérlet gyanúja (CVE-2020-1472 kihasználása) |
2411 |
Magas |
Jogosultságok eszkalálása |
|
As-REP pörkölési támadás gyanúja |
2412 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
|
Gyanús AD FS DKM-kulcs olvasása |
2413 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
|
Exchange Server távoli kódvégrehajtás (CVE-2021-26855) |
2414 |
Magas |
Oldalirányú mozgás |
|
A Windows nyomtatásisor-kezelő szolgáltatással kapcsolatos feltételezett kizsákmányolási kísérlet |
2415 |
Magas vagy közepes |
Oldalirányú mozgás |
|
Gyanús hálózati kapcsolat titkosított fájlrendszer távoli protokollon keresztül |
2416 |
Magas vagy közepes |
Oldalirányú mozgás |
|
Gyanús Kerberos-jegykérés gyanúja |
2418 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
|
SAMNameAccount attribútum gyanús módosítása (CVE-2021-42278 és CVE-2021-42287 kihasználtság) |
2419 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
|
Az AD FS-kiszolgáló megbízhatósági kapcsolatának gyanús módosítása |
2420 |
Közepes |
Jogosultságok eszkalálása |
|
A dNSHostName attribútum gyanús módosítása (CVE-2022-26923) |
2421 |
Magas |
Jogosultságok eszkalálása |
|
Gyanús Kerberos-delegálási kísérlet egy újonnan létrehozott számítógép által |
2422 |
Magas |
Jogosultságok eszkalálása |
|
Az erőforrás-alapú korlátozott delegálás attribútum gyanús módosítása egy gépfiókon |
2423 |
Magas |
Jogosultságok eszkalálása |
|
Rendellenes Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítés gyanús tanúsítvánnyal |
2424 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
|
Gyanús tanúsítványhasználat Kerberos protokollon (PKINIT) keresztül |
2425 |
Magas |
Oldalirányú mozgás |
|
Elosztott fájlrendszerprotokollt használó DFSCoerce-támadás gyanúja |
2426 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
|
Honeytoken felhasználói attribútumok módosítva |
2427 |
Magas |
Kitartás |
|
A Honeytoken-csoport tagsága megváltozott |
2428 |
Magas |
Kitartás |
|
Honeytoken-t LDAP-n keresztül kérdezték le |
2429 |
Alacsony |
Felfedezés |
|
A tartománygazdaSdHolder gyanús módosítása |
2430 |
Magas |
Kitartás |
|
Gyanús fiókátvétel árnyék hitelesítő adatokkal |
2431 |
Magas |
Hitelesítő adatokhoz való hozzáférés |
|
Gyanús tartományvezérlői tanúsítványkérelem (ESC8) |
2432 |
Magas |
Jogosultságok eszkalálása |
|
A tanúsítvány-adatbázis bejegyzéseinek gyanús törlése |
2433 |
Közepes |
Védelem kijátszása |
|
Az AD CS naplózási szűrőinek gyanús letiltása |
2434 |
Közepes |
Védelem kijátszása |
|
Az AD CS biztonsági engedélyeinek/beállításainak gyanús módosításai |
2435 |
Közepes |
Jogosultságok eszkalálása |
|
Fiók számbavételének felderítése (LDAP) ( előzetes verzió) |
2437 |
Közepes |
Fiókfelderítés, tartományi fiók |
|
Címtárszolgáltatások visszaállítási módjának jelszómódosítása |
2438 |
Közepes |
Adatmegőrzés, fiókkezelés |
|
Honeytoken-t SAM-R-n keresztül kérdezték le |
2439 |
Alacsony |
Felfedezés |
|
Csoportházirend illetéktelen módosítás |
2440 |
Közepes |
Védelem kijátszása |