SecurityInsightsKillChainIntent Struktur

Initialisiert eine neue Instanz von SecurityInsightsKillChainIntent.

Als „Sammlung“ werden Techniken bezeichnet, die vor der Exfiltration zur Identifizierung und Erfassung von Informationen, z.B. sensiblen Dateien, von einem Zielnetzwerk verwendet werden. Diese Kategorie deckt auch Speicherorte in einem System oder Netzwerk ab, in denen der Angreifer nach Informationen für die Exfiltration suchen könnte.

„Command-and-Control“ repräsentiert, wie Angreifer mit Systemen innerhalb eines Zielnetzwerks kommunizieren, die ihrer Kontrolle unterliegen.

Als „Zugriff auf Anmeldeinformationen“ werden Techniken bezeichnet, die einen Zugriff oder die Kontrolle von System-, Domänen- oder Dienstanmeldeinformationen, die in einer Unternehmensumgebung verwendet werden, zur Folge haben. Angreifer versuchen mit hoher Wahrscheinlichkeit, in den Besitz legitimer Anmeldeinformationen von Benutzern oder Administratorkonten (lokale Systemadministratoren oder Domänenbenutzer mit Administratorzugriff) zu gelangen, um diese im Netzwerk zu verwenden. Mit ausreichendem Zugriff innerhalb eines Netzwerks kann ein Angreifer Konten für die spätere Verwendung innerhalb der Umgebung erstellen.

Das „Umgehen von Verteidigungsmaßnahmen“ umfasst Techniken, die ein Angreifer verwenden kann, um eine Erkennung zu vermeiden oder andere Abwehrmaßnahmen zu umgehen. Manchmal sind diese Aktionen mit oder Variationen von Techniken in anderen Kategorien identisch, die den zusätzlichen Vorteil haben, dass eine bestimmte Verteidigung oder Eindämmung unterwandert wird.

„Ermittlung“ umfasst Techniken, die es dem Angreifer ermöglichen, Informationen über das System und das interne Netzwerk zu erlangen. Wenn Angreifer Zugriff auf ein neues System erhalten, müssen Sie sich an dem orientieren, was sie derzeit kontrollieren und welchen Nutzen der Betrieb aus diesem System heraus für ihr aktuelles Ziel oder ihre Gesamtziele während des Eindringens bietet. Das Betriebssystem stellt viele native Tools bereit, die in dieser Phase der Informationserfassung nach der Kompromittierung ausgenutzt werden können.

Als „Ausführung“ werden Techniken bezeichnet, die zur Ausführung von durch den Angreifer kontrolliertem Code auf einem lokalen System oder einem Remotesystem führen. Diese Taktik wird häufig in Verbindung mit Lateral-Movement verwendet, um den Zugriff auf Remotesysteme in einem Netzwerk zu erweitern.

„Extrafiltration" bezieht sich auf Techniken und Attribute, die das Entfernen von Dateien und Informationen aus einem Zielnetzwerk zur Folge haben oder dem Angreifer dies ermöglichen. Diese Kategorie deckt auch Speicherorte in einem System oder Netzwerk ab, in denen der Angreifer nach Informationen für die Exfiltration suchen könnte.

Die Ausbeutung ist die Phase, in der ein Angreifer es schafft, mit der angegriffenen Ressource Fuß zu fassen. Diese Phase gilt nicht nur für Computehosts, sondern auch für Ressourcen wie Benutzerkonten, Zertifikate usw. Gegner können die Ressource häufig nach dieser Phase steuern.

Das primäre Ziel der Auswirkungsabsicht besteht darin, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks direkt zu reduzieren. einschließlich der Manipulation von Daten, um sich auf einen Geschäfts- oder Betriebsprozess zu auswirken. Dies würde sich häufig auf Techniken wie Lösegeld, Verunstaltung, Datenmanipulation und andere beziehen.

„Lateral-Movement“ umfasst Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk zuzugreifen und diese zu steuern. Die Ausführung von Tools auf Remotesystemen kann, muss jedoch nicht unbedingt möglich sein. Die Lateral-Movement-Techniken können einem Angreifer ermöglichen, Informationen von einem System zu erfassen, ohne dass zusätzliche Tools wie z.B. ein Remotezugriffstool erforderlich sind. Ein Angreifer kann Lateral-Movement für viele Zwecke verwenden, z.B., um Tools remote auszuführen, auf zusätzliche Systeme zu pivotieren, auf bestimmte Informationen oder Dateien zuzugreifen, auf zusätzliche Anmeldeinformationen zuzugreifen oder bestimmte Wirkungen zu erzielen.

Persistenz ist jede Zugriffs-, Aktions- oder Konfigurationsänderung auf einem System, die einem Gegner eine dauerhafte Anwesenheit auf diesem System verleiht. Angreifer müssen häufig den Zugriff auf Systeme durch Unterbrechungen wie Systemneustarts, Verlust von Anmeldeinformationen oder andere Fehler beibehalten, die ein Remotezugriffstool zum Neustart oder eine alternative Backdoor erfordern würden, damit sie den Zugriff wiedererlangen können.

„Rechteausweitung“ ist das Ergebnis von Aktionen, mit denen ein Angreifer eine höhere Berechtigungsebene für ein System oder ein Netzwerk erhält. Bestimmte Tools oder Aktionen erfordern eine höhere Berechtigungsebene und sind wahrscheinlich an vielen Punkten während eines Vorgangs erforderlich. Benutzerkonten, die über Berechtigungen für den Zugriff auf bestimmte Systeme verfügen oder bestimmte Funktionen ausführen, die für Angreifer erforderlich sind, um Ihr Ziel zu erreichen, können auch als „Rechteausweitung“ angesehen werden.

Die Überprüfung kann ein Versuch sein, auf eine bestimmte Ressource zuzugreifen, unabhängig von einer böswilligen Absicht oder ein fehlgeschlagener Versuch, Sich Zugriff auf ein Zielsystem zu verschaffen, um Vor der Ausnutzung Informationen zu sammeln. Dieser Schritt wird normalerweise als Versuch erkannt, der von außerhalb des Netzwerks stammt, um das Zielsystem zu scannen und einen Weg in zu finden.

Der Standardwert.

Gibt an, ob das aktuelle Objekt gleich einem anderen Objekt des gleichen Typs ist.

Gibt den voll qualifizierten Typnamen dieser Instanz zurück.

Bestimmt, ob zwei SecurityInsightsKillChainIntent Werte identisch sind.

Konvertiert eine Zeichenfolge in eine SecurityInsightsKillChainIntent.

Bestimmt, ob zwei SecurityInsightsKillChainIntent Werte nicht identisch sind.