Kalıcılık ve ayrıcalık yükseltme uyarıları
Genellikle, düşük ayrıcalıklı bir kullanıcı gibi erişilebilir herhangi bir varlığa karşı siber saldırılar başlatılır ve saldırgan değerli varlıklara erişim elde edene kadar hızla bir sonraki adıma geçer. Değerli varlıklar hassas hesaplar, etki alanı yöneticileri veya yüksek oranda hassas veriler olabilir. Kimlik için Microsoft Defender, saldırı sonlandırma zincirinin tamamında kaynakta bu gelişmiş tehditleri tanımlar ve bunları aşağıdaki aşamalarda sınıflandırır:
- Keşif ve bulma uyarıları
- Kalıcılık ve ayrıcalık yükseltme
- Kimlik bilgisi erişim uyarıları
- Yanal hareket uyarıları
- Diğer uyarılar
Kimlik için Defender güvenlik uyarılarının yapısını ve ortak bileşenlerini anlama hakkında daha fazla bilgi edinmek için bkz. Güvenlik uyarılarını anlama. Doğru pozitif (TP), Zararsız gerçek pozitif (B-TP) ve Hatalı pozitif (FP) hakkında bilgi için bkz. güvenlik uyarısı sınıflandırmaları.
Aşağıdaki güvenlik uyarıları ağınızdaki Kimlik için Defender tarafından algılanan Kalıcılık ve ayrıcalık yükseltme aşaması şüpheli etkinliklerini belirlemenize ve düzeltmenize yardımcı olur.
Saldırgan farklı şirket içi kaynaklara erişimi korumak için teknikleri kullandıktan sonra, saldırganların sistem veya ağ üzerinde daha üst düzey izinler elde etmek için kullandığı tekniklerden oluşan Privilege Escalation aşamasını başlatır. Saldırganlar genellikle ayrıcalıksız erişime sahip bir ağa girebilir ve bu ağı keşfedebilir, ancak hedeflerini izlemek için yükseltilmiş izinler gerektirir. Yaygın yaklaşımlar sistem zayıflıklarından, yanlış yapılandırmalardan ve güvenlik açıklarından yararlanmaktır.
Şüpheli Altın Anahtar kullanımı (şifreleme eski sürüme düşürme) (dış kimlik 2009)
Önceki ad: Şifreleme düşürme etkinliği
Önem Derecesi: Orta
Açıklama:
Şifrelemeyi düşürme, normalde en yüksek şifreleme düzeyine sahip farklı protokol alanlarının şifreleme düzeyini düşürerek Kerberos'un zayıflamasına neden olan bir yöntemdir. Zayıflamış şifrelenmiş bir alan, çevrimdışı deneme yanılma girişimleri için daha kolay bir hedef olabilir. Çeşitli saldırı yöntemleri zayıf Kerberos şifreleme şifreleri kullanır. Bu algılamada, Kimlik için Defender bilgisayarlar ve kullanıcılar tarafından kullanılan Kerberos şifreleme türlerini öğrenir ve kaynak bilgisayar ve/veya kullanıcı için olağan dışı olan ve bilinen saldırı teknikleriyle eşleşen daha zayıf bir şifre kullanıldığında sizi uyarır.
Altın Anahtar uyarısında, kaynak bilgisayardan gelen TGS_REQ (hizmet isteği) iletisinin TGT alanının şifreleme yöntemi, daha önce öğrenilen davranışa göre düşürüldü olarak algılandı. Bu, bir zaman anomalisine (diğer Altın Bilet algılamada olduğu gibi) dayalı değildir. Ayrıca, bu uyarı söz konusu olduğunda, Kimlik için Defender tarafından algılanan önceki hizmet isteğiyle ilişkilendirilmiş Kerberos kimlik doğrulama isteği yoktu.
Öğrenme dönemi:
Bu uyarı, etki alanı denetleyicisi izlemesinin başlangıcından itibaren 5 günlük bir öğrenme süresine sahiptir.
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004), YanAl Hareket (TA0008) |
| MITRE saldırı tekniği | Kerberos Biletlerini Çalma veya Forge Etme (T1558) |
| MITRE saldırı alt tekniği | Altın Bilet (T1558.001) |
Önleme için önerilen adımlar:
- Windows Server 2012 R2'ye kadar işletim sistemlerine sahip tüm etki alanı denetleyicilerinin KB3011780 ile yüklendiğinden ve 2012 R2'ye kadar olan tüm üye sunucuların ve etki alanı denetleyicilerinin KB2496930 ile güncel olduğundan emin olun. Daha fazla bilgi için bkz. Silver PAC ve Sahte PAC.
Şüpheli Altın Bilet kullanımı (var olmayan hesap) (dış kimlik 2027)
Önceki ad: Kerberos altın anahtar
Önem Derecesi: Yüksek
Açıklama:
Etki alanı yönetici haklarına sahip saldırganlar KRBTGT hesabının güvenliğini tehlikeye atabilir. KRBTGT hesabını kullanarak, herhangi bir kaynağa yetkilendirme sağlayan ve anahtar süre sonunu rastgele bir zamana ayarlayan bir Kerberos anahtar verme anahtarı (TGT) oluşturabilirler. Bu sahte TGT, "Altın Bilet" olarak adlandırılır ve saldırganların ağ kalıcılığı elde etmesine olanak tanır. Bu algılamada, var olmayan bir hesap tarafından bir uyarı tetikleniyor.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004), YanAl Hareket (TA0008) |
| MITRE saldırı tekniği | Kerberos Biletlerini Çalma veya Forge Etme (T1558), Ayrıcalık Yükseltme için Yararlanma (T1068), Uzak Hizmetlerden Yararlanma (T1210) |
| MITRE saldırı alt tekniği | Altın Bilet (T1558.001) |
Şüpheli Altın Bilet kullanımı (bilet anomalisi) (dış kimlik 2032)
Önem Derecesi: Yüksek
Açıklama:
Etki alanı yönetici haklarına sahip saldırganlar KRBTGT hesabının güvenliğini tehlikeye atabilir. KRBTGT hesabını kullanarak, herhangi bir kaynağa yetkilendirme sağlayan ve anahtar süre sonunu rastgele bir zamana ayarlayan bir Kerberos anahtar verme anahtarı (TGT) oluşturabilirler. Bu sahte TGT, "Altın Bilet" olarak adlandırılır ve saldırganların ağ kalıcılığı elde etmesine olanak tanır. Bu tür sahte Altın Biletler, bu algılamanın özel olarak tanımlayacak şekilde tasarlandığı benzersiz özelliklere sahiptir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004), YanAl Hareket (TA0008) |
| MITRE saldırı tekniği | Kerberos Biletlerini Çalma veya Forge Etme (T1558) |
| MITRE saldırı alt tekniği | Altın Bilet (T1558.001) |
Şüpheli Altın Bilet kullanımı (RBCD kullanan bilet anomalisi) (dış kimlik 2040)
Önem Derecesi: Yüksek
Açıklama:
Etki alanı yönetici haklarına sahip saldırganlar KRBTGT hesabının güvenliğini tehlikeye atabilir. KRBTGT hesabını kullanarak, herhangi bir kaynağa yetkilendirme sağlayan bir Kerberos anahtarı verme anahtarı (TGT) oluşturabilirler. Bu sahte TGT, "Altın Bilet" olarak adlandırılır ve saldırganların ağ kalıcılığı elde etmesine olanak tanır. Bu algılamada uyarı, SPN'ye sahip hesap (kullanıcı\bilgisayar) için KRBTGT hesabı kullanılarak Kaynak Tabanlı Kısıtlanmış Temsilci (RBCD) izinleri ayarlanarak oluşturulan altın bir bilet tarafından tetiklendi.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Kerberos Biletlerini Çalma veya Forge Etme (T1558) |
| MITRE saldırı alt tekniği | Altın Bilet (T1558.001) |
Şüpheli Altın Bilet kullanımı (zaman anomalisi) (dış kimlik 2022)
Önceki ad: Kerberos altın anahtar
Önem Derecesi: Yüksek
Açıklama:
Etki alanı yönetici haklarına sahip saldırganlar KRBTGT hesabının güvenliğini tehlikeye atabilir. KRBTGT hesabını kullanarak, herhangi bir kaynağa yetkilendirme sağlayan ve anahtar süre sonunu rastgele bir zamana ayarlayan bir Kerberos anahtar verme anahtarı (TGT) oluşturabilirler. Bu sahte TGT, "Altın Bilet" olarak adlandırılır ve saldırganların ağ kalıcılığı elde etmesine olanak tanır. Bu uyarı, izin verilen süreden daha uzun bir süre için anahtar veren bir Kerberos anahtarı kullanıldığında, kullanıcı bileti için en uzun yaşam süresi bölümünde belirtildiği gibi tetikler.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004), YanAl Hareket (TA0008) |
| MITRE saldırı tekniği | Kerberos Biletlerini Çalma veya Forge Etme (T1558) |
| MITRE saldırı alt tekniği | Altın Bilet (T1558.001) |
Şüpheli iskelet anahtar saldırısı (şifreleme düşürme) (dış kimlik 2010)
Önceki ad: Şifreleme düşürme etkinliği
Önem Derecesi: Orta
Açıklama:
Şifreleme düşürme, normalde en yüksek şifreleme düzeyine sahip protokolün farklı alanları için düşük bir şifreleme düzeyi kullanarak Kerberos'un zayıflamasına neden olan bir yöntemdir. Zayıflamış şifrelenmiş bir alan, çevrimdışı deneme yanılma girişimleri için daha kolay bir hedef olabilir. Çeşitli saldırı yöntemleri zayıf Kerberos şifreleme şifreleri kullanır. Bu algılamada, Kimlik için Defender bilgisayarlar ve kullanıcılar tarafından kullanılan Kerberos şifreleme türlerini öğrenir. Uyarı, kaynak bilgisayar ve/veya kullanıcı için olağan dışı olan ve bilinen saldırı teknikleriyle eşleşen daha zayıf bir şifreleme kullanıldığında verilir.
Skeleton Key, etki alanı denetleyicilerinde çalışan ve parolasını bilmeden herhangi bir hesapla etki alanında kimlik doğrulamasına izin veren kötü amaçlı yazılımdır. Bu kötü amaçlı yazılım genellikle kullanıcının parolalarını etki alanı denetleyicisinde karma olarak kullanmak için daha zayıf şifreleme algoritmaları kullanır. Bu uyarıda, etki alanı denetleyicisinden bilet isteyen hesaba önceki KRB_ERR ileti şifrelemesinin öğrenilen davranışı düşürüldü.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| İkincil MITRE taktiği | YanAl Hareket (TA0008) |
| MITRE saldırı tekniği | Uzak Hizmetlerden Yararlanma (T1210),Kimlik Doğrulama İşlemini Değiştirme (T1556) |
| MITRE saldırı alt tekniği | Etki Alanı Denetleyicisi Kimlik Doğrulaması (T1556.001) |
Hassas gruplara şüpheli eklemeler (dış kimlik 2024)
Önem Derecesi: Orta
Açıklama:
Saldırganlar kullanıcıları yüksek ayrıcalıklı gruplara ekler. Daha fazla kaynağa erişim elde etmek ve kalıcılık kazanmak için kullanıcı ekleme işlemi gerçekleştirilir. Bu algılama, kullanıcıların grup değiştirme etkinliklerinin profilini oluşturma ve hassas bir gruba anormal bir ekleme görüldüğünde uyarı göndermeye dayanır. Kimlik için Defender profilleri sürekli olarak.
Kimlik için Defender'da hassas grupların tanımı için bkz. Hassas hesaplarla çalışma.
Algılama, etki alanı denetleyicilerinde denetlenen olaylara dayanır. Etki alanı denetleyicilerinizin gerekli olayları denetlediğinden emin olun.
Öğrenme dönemi:
İlk etkinlikten başlayarak etki alanı denetleyicisi başına dört hafta.
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| İkincil MITRE taktiği | Kimlik Bilgisi Erişimi (TA0006) |
| MITRE saldırı tekniği | Hesap Düzenleme (T1098),Etki Alanı İlkesi Değişikliği (T1484) |
| MITRE saldırı alt tekniği | Yok |
Önleme için önerilen adımlar:
- Gelecekteki saldırıları önlemeye yardımcı olmak için hassas grupları değiştirme yetkisi olan kullanıcı sayısını en aza indirin.
- Varsa Active Directory için Privileged Access Management'i ayarlayın.
Şüpheli Netlogon ayrıcalık yükseltme girişimi (CVE-2020-1472 yararlanma) (dış kimlik 2411)
Önem Derecesi: Yüksek
Açıklama: Microsoft CVE-2020-1472'yi yayınlayarak etki alanı denetleyicisine ayrıcalıkların yükseltilmesine izin veren yeni bir güvenlik açığı olduğunu duyurmunu yayınladı.
Bir saldırgan, Netlogon Ayrıcalıkların Yükseltilmesi Güvenlik Açığı olarak da bilinen Netlogon Uzak Protokolü'nü (MS-NRPC) kullanarak bir etki alanı denetleyicisiyle güvenlik açığı olan bir Netlogon güvenli kanal bağlantısı kurduğunda ayrıcalık yükseltme güvenlik açığı vardır.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
|---|---|
| MITRE saldırı tekniği | Yok |
| MITRE saldırı alt tekniği | Yok |
Önleme için önerilen adımlar:
- Netlogon güvenli kanal bağlantısında bu güvenlik açığıyla ilgili ve bu güvenlik açığını önleyebilecek değişiklikleri yönetme kılavuzumuzu gözden geçirin.
Honeytoken kullanıcı öznitelikleri değiştirildi (dış kimlik 2427)
Önem Derecesi: Yüksek
Açıklama: Active Directory'deki her kullanıcı nesnesinin ad, ikinci ad, soyadı, telefon numarası, adres ve daha fazlası gibi bilgileri içeren öznitelikleri vardır. Bazen saldırganlar, bir hesabın telefon numarasını değiştirerek çok faktörlü kimlik doğrulama girişimlerine erişim elde etmek için bu nesneleri kendi yararları için işlemeye çalışır. Kimlik için Microsoft Defender, önceden yapılandırılmış honeytoken kullanıcıda yapılan tüm öznitelik değişiklikleri için bu uyarıyı tetikler.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| MITRE saldırı tekniği | Hesap Düzenleme (T1098) |
| MITRE saldırı alt tekniği | Yok |
Honeytoken grup üyeliği değiştirildi (dış kimlik 2428)
Önem Derecesi: Yüksek
Açıklama: Active Directory'de her kullanıcı bir veya daha fazla grubun üyesidir. Bir hesaba erişim elde ettikten sonra, saldırganlar bunları kaldırarak veya güvenlik gruplarına ekleyerek diğer kullanıcılara bu hesaptan izin eklemeye veya kaldırmaya çalışabilir. Kimlik için Microsoft Defender, önceden yapılandırılmış bir honeytoken kullanıcı hesabında değişiklik yapıldığında bir uyarı tetikler.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| MITRE saldırı tekniği | Hesap Düzenleme (T1098) |
| MITRE saldırı alt tekniği | Yok |
Şüpheli SID-History ekleme (dış kimlik 1106)
Önem Derecesi: Yüksek
Açıklama: SIDHistory, Active Directory'de kullanıcıların izinleri ve hesapları bir etki alanından diğerine geçirildiğinde kaynaklara erişmesini sağlayan bir özniteliktir. Kullanıcı hesabı yeni bir etki alanına geçirildiğinde, kullanıcının SID'i yeni etki alanındaki hesabının SIDHistory özniteliğine eklenir. Bu öznitelik, kullanıcının önceki etki alanındaki SID'lerin listesini içerir.
Saldırganlar ayrıcalıkları yükseltme ve erişim denetimlerini atlama amacıyla SIH geçmişi ekleme özelliğini kullanabilir. Bu algılama, SIDHistory özniteliğine yeni eklenen SID eklendiğinde tetiklenir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
|---|---|
| MITRE saldırı tekniği | Hesap Düzenleme (T1134) |
| MITRE saldırı alt tekniği | SID Geçmişi Ekleme(T1134.005) |
Bir dNSHostName özniteliğinin şüpheli değişikliği (CVE-2022-26923) (dış kimlik 2421)
Önem Derecesi: Yüksek
Açıklama:
Bu saldırı, bilinen bir güvenlik açığından (CVE-2022-26923) yararlanarak dNSHostName özniteliğinin yetkisiz olarak değiştirilmesini içerir. Saldırganlar, Etki Alanı Adı Sistemi (DNS) çözümleme işleminin bütünlüğünü tehlikeye atmak için bu özniteliği işleyip ortadaki adam saldırıları veya ağ kaynaklarına yetkisiz erişim gibi çeşitli güvenlik risklerine yol açabilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
|---|---|
| İkincil MITRE taktiği | Savunma Kaçaması (TA0005) |
| MITRE saldırı tekniği | Ayrıcalık Yükseltme için Yararlanma (T1068),Erişim Belirteci Düzenlemesi (T1134) |
| MITRE saldırı alt tekniği | Belirteç Kimliğe Bürünme/Hırsızlık (T1134.001) |
AdminSdHolder etki alanında şüpheli değişiklik (dış kimlik 2430)
Önem Derecesi: Yüksek
Açıklama:
Saldırganlar Domain AdminSdHolder'ı hedef alabilir ve yetkisiz değişiklikler yapabilir. Bu, ayrıcalıklı hesapların güvenlik tanımlayıcılarını değiştirerek güvenlik açıklarına yol açabilir. Yetkisiz değişiklikleri önlemek için kritik Active Directory nesnelerinin düzenli olarak izlenmesi ve güvenliğinin sağlanması çok önemlidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Kalıcılık (TA0003) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Hesap Düzenleme (T1098) |
| MITRE saldırı alt tekniği | Yok |
Yeni oluşturulan bir bilgisayar tarafından şüpheli Kerberos temsil girişimi (dış kimlik 2422)
Önem Derecesi: Yüksek
Açıklama:
Bu saldırı, yeni oluşturulan bir bilgisayar tarafından yapılan şüpheli bir Kerberos bilet isteğini içerir. Yetkisiz Kerberos anahtar istekleri olası güvenlik tehditlerini gösterebilir. Anormal bilet isteklerini izlemek, bilgisayar hesaplarını doğrulamak ve şüpheli etkinlikleri hemen ele almak, yetkisiz erişimi ve olası güvenliği aşmayı önlemek için gereklidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçaması (TA0005) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Etki Alanı İlkesi Değişikliği (T1484) |
| MITRE saldırı alt tekniği | Yok |
Şüpheli Etki Alanı Denetleyicisi sertifika isteği (ESC8) (dış kimlik 2432)
Önem Derecesi: Yüksek
Açıklama:
Etki Alanı Denetleyicisi sertifikasına (ESC8) yönelik anormal bir istek olası güvenlik tehditleriyle ilgili endişelere neden olur. Bu, sertifika altyapısının bütünlüğünü tehlikeye atarak yetkisiz erişim ve veri ihlallerine yol açan bir girişim olabilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçaması (TA0005) |
|---|---|
| İkincil MITRE taktiği | Kalıcılık (TA0003),Ayrıcalık Yükseltme (TA0004),İlk Erişim (TA0001) |
| MITRE saldırı tekniği | Geçerli Hesaplar (T1078) |
| MITRE saldırı alt tekniği | Yok |
Not
Şüpheli Etki Alanı Denetleyicisi sertifika isteği (ESC8) uyarıları yalnızca AD CS'de Kimlik için Defender algılayıcıları tarafından desteklenir.
AD CS güvenlik izinlerinde/ayarlarında şüpheli değişiklikler (dış kimlik 2435)
Önem Derecesi: Orta
Açıklama:
Saldırganlar, sertifikaların verilmesini ve yönetilmesini işlemek için Active Directory Sertifika Hizmetleri'nin (AD CS) güvenlik izinlerini ve ayarlarını hedef alabilir. Yetkisiz değişiklikler güvenlik açıklarına neden olabilir, sertifika bütünlüğünü tehlikeye atabilir ve PKI altyapısının genel güvenliğini etkileyebilir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçaması (TA0005) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Etki Alanı İlkesi Değişikliği (T1484) |
| MITRE saldırı alt tekniği | Yok |
Not
AD CS güvenlik izinleri/ayarları uyarılarında yapılan şüpheli değişiklikler yalnızca AD CS'de Kimlik için Defender algılayıcıları tarafından desteklenir.
AD FS sunucusunun güven ilişkisinde şüpheli değişiklik (dış kimlik 2420)
Önem Derecesi: Orta
Açıklama:
AD FS sunucularının güven ilişkisinde yetkisiz değişiklikler, federasyon kimlik sistemlerinin güvenliğini tehlikeye atabilir. Güven yapılandırmalarının izlenmesi ve güvenliğinin sağlanması, yetkisiz erişimin önlenmesi açısından kritik öneme sahiptir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçaması (TA0005) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Etki Alanı İlkesi Değişikliği (T1484) |
| MITRE saldırı alt tekniği | Etki Alanı Güveni Değişikliği (T1484.002) |
Not
AD FS sunucu uyarılarının güven ilişkisinde şüpheli değişiklikler yalnızca AD FS'de Kimlik için Defender algılayıcıları tarafından desteklenir.
Kaynak Tabanlı Kısıtlanmış Temsil özniteliğinin bir makine hesabı tarafından şüpheli olarak değiştirilmesi (dış kimlik 2423)
Önem Derecesi: Yüksek
Açıklama:
Bir makine hesabı tarafından Resource-Based Kısıtlanmış Temsil özniteliğinde yapılan yetkisiz değişiklikler güvenlik ihlallerine yol açarak saldırganların kullanıcıların kimliğine bürünmesine ve kaynaklara erişmesine olanak tanıyabilir. Temsil yapılandırmalarını izlemek ve güvenli hale getirmek, kötüye kullanımı önlemek için gereklidir.
Öğrenme dönemi:
Hiçbiri
MITRE:
| Birincil MITRE taktiği | Savunma Kaçaması (TA0005) |
|---|---|
| İkincil MITRE taktiği | Ayrıcalık Yükseltme (TA0004) |
| MITRE saldırı tekniği | Etki Alanı İlkesi Değişikliği (T1484) |
| MITRE saldırı alt tekniği | Yok |