Injection de SID-History soupçonnée |
1106 |
Forte |
Élévation des privilèges |
Suspicion d’attaque overpass-the-hash (Kerberos) |
2002 |
Moyenne |
Mouvement latéral |
Reconnaissance d’énumération de compte |
2003 |
Moyenne |
Découverte |
Suspicion d’attaque par force brute (LDAP) |
2004 |
Moyenne |
Accès aux informations d’identification |
Suspicion d’attaque DCSync (réplication des services d’annuaire) |
2006 |
Forte |
Accès aux informations d’identification, persistance |
Reconnaissance de mappage réseau (DNS) |
2007 |
Moyenne |
Découverte |
Suspicion d’attaque de over-pass-the-hash (type de chiffrement forcé) |
2008 |
Moyenne |
Mouvement latéral |
Suspicion d’utilisation de Golden Ticket (rétrogradation du chiffrement) |
2009 |
Moyenne |
Persistance, élévation des privilèges, mouvement latéral |
Suspicion d’attaque skeleton key (rétrogradation du chiffrement) |
2010 |
Moyenne |
Persistance, mouvement latéral |
Reconnaissance des adresses IP et des utilisateurs (SMB) |
2012 |
Moyenne |
Découverte |
Suspicion d’utilisation de golden Ticket (données d’autorisation falsifiées) |
2013 |
Forte |
Accès aux informations d’identification |
Activité d’authentification Honeytoken |
2014 |
Moyenne |
Accès aux informations d’identification, découverte |
Suspicion d’usurpation d’identité (pass-the-hash) |
2017 |
Forte |
Mouvement latéral |
Suspicion d’usurpation d’identité (pass-the-ticket) |
2018 |
Moyen ou élevé |
Mouvement latéral |
Tentative d’exécution de code à distance |
2019 |
Moyenne |
Exécution, persistance, élévation des privilèges, contournement de la défense, mouvement latéral |
Demande malveillante de la clé principale de l’API de protection des données (DPAPI) |
2020 |
Forte |
Accès aux informations d’identification |
Reconnaissance des appartenances utilisateur et à un groupe (SAMR) |
2021 |
Moyenne |
Découverte |
Suspicion d’utilisation de golden Ticket (anomalie temporelle) |
2022 |
Forte |
Persistance, élévation des privilèges, mouvement latéral |
Suspicion d’attaque par force brute (Kerberos, NTLM) |
2023 |
Moyenne |
Accès aux informations d’identification |
Ajouts suspects aux groupes sensibles |
2024 |
Moyenne |
Persistance, accès aux informations d’identification |
Connexion VPN suspecte |
2025 |
Moyenne |
Persistance, contournement de la défense |
Création d’un service suspect |
2026 |
Moyenne |
Exécution, persistance, élévation des privilèges, contournement de la défense, mouvement latéral |
Suspicion d’utilisation de golden ticket (compte inexistant) |
2027 |
Forte |
Persistance, élévation des privilèges, mouvement latéral |
Suspicion d’attaque DCShadow (promotion du contrôleur de domaine) |
2028 |
Forte |
Évasion de défense |
Suspicion d’attaque DCShadow (demande de réplication du contrôleur de domaine) |
2029 |
Forte |
Évasion de défense |
Exfiltration de données sur SMB |
2030 |
Forte |
Exfiltration, mouvement latéral, commande et contrôle |
Communication suspecte sur DNS |
2031 |
Moyenne |
Exfiltration |
Suspicion d’utilisation de golden Ticket (anomalie de ticket) |
2032 |
Forte |
Persistance, élévation des privilèges, mouvement latéral |
Suspicion d’attaque par force brute (SMB) |
2033 |
Moyenne |
Mouvement latéral |
Suspicion d’utilisation du cadre de piratage Metasploit |
2034 |
Moyenne |
Mouvement latéral |
Suspicion d’attaque par rançongiciel WannaCry |
2035 |
Moyenne |
Mouvement latéral |
Exécution de code distant sur DNS |
2036 |
Moyenne |
Mouvement latéral, élévation des privilèges |
Suspicion d’attaque de relais NTLM |
2037 |
Moyenne ou faible si elle est observée à l’aide du protocole NTLM v2 signé |
Mouvement latéral, élévation des privilèges |
Reconnaissance de principal de sécurité (LDAP) |
2038 |
Moyenne |
Accès aux informations d’identification |
Suspicion de falsification d’authentification NTLM |
2039 |
Moyenne |
Mouvement latéral, élévation des privilèges |
Suspicion d’utilisation de golden Ticket (anomalie de ticket utilisant RBCD) |
2040 |
Forte |
Persistance |
Suspicion d’utilisation de certificats Kerberos non autorisés |
2047 |
Forte |
Mouvement latéral |
Tentative de délégation Kerberos suspecte à l’aide de la méthode BronzeBit (exploitation CVE-2020-17049) |
2 048 |
Moyenne |
Accès aux informations d’identification |
Reconnaissance des attributs Active Directory (LDAP) |
2210 |
Moyenne |
Découverte |
Suspicion de manipulation de paquets S Mo (exploitation CVE-2020-0796) |
2406 |
Forte |
Mouvement latéral |
Suspicion d’exposition du SPN Kerberos |
2410 |
Forte |
Accès aux informations d’identification |
Suspicion de tentative d’élévation de privilèges Netlogon (exploitation CVE-2020-1472) |
2411 |
Forte |
Élévation des privilèges |
Suspicion d’attaque AS-REP Roasting |
2412 |
Forte |
Accès aux informations d’identification |
Suspicion de lecture de clé DKM AD FS |
2413 |
Forte |
Accès aux informations d’identification |
Exécution de code à distance du serveur Exchange (CVE-2021-26855) |
2 414 |
Forte |
Mouvement latéral |
Suspicion de tentative d’exploitation sur le service Spouleur d’impression Windows |
2415 |
Moyen ou élevé |
Mouvement latéral |
Connexion réseau suspecte via le protocole distant du système de fichiers EFS |
2416 |
Moyen ou élevé |
Mouvement latéral |
Suspicion de demande de ticket Kerberos suspecte |
2418 |
Forte |
Accès aux informations d’identification |
Suspicion de modification d’un attribut sAMNameAccount (exploitation CVE-2021-42278 et CVE-2021-42287) |
2419 |
Forte |
Accès aux informations d’identification |
Modification suspecte de la relation d’approbation du serveur AD FS |
2420 |
Moyenne |
Élévation des privilèges |
Modification suspecte d’un attribut dNSHostName (CVE-2022-26923) |
2421 |
Forte |
Élévation des privilèges |
Tentative de délégation Kerberos suspecte par un ordinateur nouvellement créé |
2422 |
Forte |
Élévation des privilèges |
Modification suspecte de l’attribut de délégation contrainte basée sur les ressources par un compte d’ordinateur |
2423 |
Forte |
Élévation des privilèges |
Authentification services de fédération Active Directory (AD FS) anormale (AD FS) à l’aide d’un certificat suspect |
2424 |
Forte |
Accès aux informations d’identification |
Utilisation suspecte du certificat sur le protocole Kerberos (PKINIT) |
2425 |
Forte |
Mouvement latéral |
Suspicion d’attaque DFSCoerce à l’aide du protocole de système de fichiers distribué |
2426 |
Forte |
Accès aux informations d’identification |
Attributs utilisateur Honeytoken modifiés |
2427 |
Forte |
Persistance |
Modification de l’appartenance au groupe Honeytoken |
2428 |
Forte |
Persistance |
Honeytoken a été interrogé via LDAP |
2429 |
Faible |
Découverte |
Modification suspecte du domaine Administration SdHolder |
2430 |
Forte |
Persistance |
Prise en charge du compte soupçonnée à l’aide d’informations d’identification d’ombre |
2431 |
Forte |
Accès aux informations d’identification |
Demande de certificat de contrôleur de domaine suspecte (ESC8) |
2432 |
Forte |
Élévation des privilèges |
Suppression suspecte des entrées de base de données de certificat |
2433 |
Moyenne |
Évasion de défense |
Désactivation suspecte des filtres d’audit d’AD CS |
2434 |
Moyenne |
Évasion de défense |
Modifications suspectes des autorisations/paramètres de sécurité AD CS |
2435 |
Moyenne |
Élévation des privilèges |
Reconnaissance de l’énumération de compte (LDAP) (préversion) |
2437 |
Moyenne |
Découverte de compte, compte de domaine |
Modification du mot de passe en mode restauration des services d’annuaire (préversion) |
2438 |
Moyenne |
Persistance, manipulation de compte |
Honeytoken a été interrogé via SAM-R |
2 439 |
Faible |
Découverte |