Podejrzenie wstrzyknięcia historii identyfikatora SID |
1106 |
Maksimum |
Eskalacja uprawnień |
Podejrzany atak overpass-the-hash (Kerberos) |
2002 |
Średnia |
Ruch boczny |
Rekonesans wyliczania kont |
2003 |
Średnia |
Odnajdowanie |
Podejrzany atak siłowy (LDAP) |
2004 |
Średnia |
Dostęp poświadczeń |
Podejrzany atak DCSync (replikacja usług katalogowych) |
2006 |
Maksimum |
Dostęp poświadczeń, trwałość |
Rekonesans mapowania sieci (DNS) |
2007 |
Średnia |
Odnajdowanie |
Podejrzewano atak typu over-pass-the-hash (wymuszony typ szyfrowania) |
2008 |
Średnia |
Ruch boczny |
Podejrzenie użycia biletu złotego (obniżenie poziomu szyfrowania) |
2009 |
Średnia |
Trwałość, eskalacja uprawnień, ruch boczny |
Podejrzenie ataku na klucz szkieletowy (obniżenie poziomu szyfrowania) |
2010 |
Średnia |
Trwałość, ruch poprzeczny |
Rekonesans użytkownika i adresu IP (SMB) |
2012 |
Średnia |
Odnajdowanie |
Podejrzane użycie biletu złotego (sfałszowane dane autoryzacji) |
2013 |
Maksimum |
Dostęp poświadczeń |
Działanie uwierzytelniania wystawione jako przynęta |
2014 |
Średnia |
Dostęp poświadczeń, odnajdywanie |
Podejrzenie kradzieży tożsamości (pass-the-hash) |
2017 |
Maksimum |
Ruch boczny |
Podejrzenie kradzieży tożsamości (pass-the-ticket) |
2018 |
Wysoki lub Średni |
Ruch boczny |
Próba zdalnego wykonania kodu |
2019 |
Średnia |
Wykonywanie, Trwałość, Eskalacja uprawnień, Uchylanie się od obrony, Ruch boczny |
Złośliwe żądanie klucza głównego interfejsu API ochrony danych |
2020 |
Maksimum |
Dostęp poświadczeń |
Rekonesans członkostwa użytkowników i grup (SAMR) |
2021 |
Średnia |
Odnajdowanie |
Podejrzane użycie biletu złotego (anomalia czasowa) |
2022 |
Maksimum |
Trwałość, eskalacja uprawnień, ruch boczny |
Podejrzenie ataku siłowego (Kerberos, NTLM) |
2023 |
Średnia |
Dostęp poświadczeń |
Podejrzane dodatki do grup poufnych |
2024 |
Średnia |
Trwałość, dostęp poświadczeń, |
Podejrzane połączenie sieci VPN |
2025 |
Średnia |
Uchylanie się od obrony, Trwałość |
Podejrzane tworzenie usługi |
2026 |
Średnia |
Wykonywanie, trwałość, eskalacja uprawnień, uchylanie się od obrony, ruch boczny |
Podejrzenie użycia biletu złotego (nieistniejących kont) |
2027 |
Maksimum |
Trwałość, eskalacja uprawnień, ruch boczny |
Podejrzany atak DCShadow (podwyższenie poziomu kontrolera domeny) |
2028 |
Maksimum |
Uchylanie się od obrony |
Podejrzany atak DCShadow (żądanie replikacji kontrolera domeny) |
2029 |
Maksimum |
Uchylanie się od obrony |
Eksfiltracja danych za pośrednictwem protokołu SMB |
2030 |
Maksimum |
Eksfiltracja, ruch poprzeczny, polecenie i kontrola |
Podejrzana komunikacja za pośrednictwem systemu DNS |
2031 |
Średnia |
Wyprowadzanie |
Podejrzenie użycia biletu złotego (anomalia biletu) |
2032 |
Maksimum |
Trwałość, eskalacja uprawnień, ruch boczny |
Podejrzenie ataku siłowego (SMB) |
2033 |
Średnia |
Ruch boczny |
Podejrzenie użycia platformy hakerskiej Metasploit |
2034 |
Średnia |
Ruch boczny |
Podejrzany atak ransomware WannaCry |
2035 |
Średnia |
Ruch boczny |
Zdalne wykonywanie kodu za pośrednictwem systemu DNS |
2036 |
Średnia |
Ruch poprzeczny, eskalacja uprawnień |
Podejrzany atak przekaźnika NTLM |
2037 |
Średni lub niski, jeśli zaobserwowano użycie podpisanego protokołu NTLM w wersji 2 |
Ruch poprzeczny, eskalacja uprawnień |
Rekonesans podmiotu zabezpieczeń (LDAP) |
2038 |
Średnia |
Dostęp poświadczeń |
Podejrzenie naruszenia uwierzytelniania NTLM |
2039 |
Średnia |
Ruch poprzeczny, eskalacja uprawnień |
Podejrzenie użycia biletu złotego (anomalia biletu przy użyciu protokołu RBCD) |
2040 |
Maksimum |
Trwałość |
Podejrzenie użycia nieautoryzowanych certyfikatów Protokołu Kerberos |
2047 |
Maksimum |
Ruch boczny |
Podejrzane próby delegowania protokołu Kerberos przy użyciu metody BronzeBit (CVE-2020-17049) |
2048 |
Średnia |
Dostęp poświadczeń |
Rekonesans atrybutów usługi Active Directory (LDAP) |
2210 |
Średnia |
Odnajdowanie |
Podejrzenie manipulacji pakietami SMB (CVE-2020-0796 wyzysk) |
2406 |
Maksimum |
Ruch boczny |
Podejrzenie ujawnienia głównej nazwy usługi Kerberos |
2410 |
Maksimum |
Dostęp poświadczeń |
Podejrzenie próby podniesienia uprawnień netlogon (CVE-2020-1472 wyzysk) |
2411 |
Maksimum |
Eskalacja uprawnień |
Podejrzany atak prażenia AS-REP |
2412 |
Maksimum |
Dostęp poświadczeń |
Podejrzenie odczytu klucza DKM usług AD FS |
2413 |
Maksimum |
Dostęp poświadczeń |
Zdalne wykonywanie kodu serwera Exchange (CVE-2021-26855) |
2414 |
Maksimum |
Ruch boczny |
Podejrzenie próby wykorzystania w usłudze buforu wydruku systemu Windows |
2415 |
Wysoki lub Średni |
Ruch boczny |
Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików |
2416 |
Wysoki lub Średni |
Ruch boczny |
Podejrzenie podejrzanego żądania biletu kerberos |
2418 |
Maksimum |
Dostęp poświadczeń |
Podejrzane modyfikacje atrybutu sAMNameAccount (CVE-2021-42278 i CVE-2021-42287) |
2419 |
Maksimum |
Dostęp poświadczeń |
Podejrzane modyfikacje relacji zaufania serwera usług AD FS |
2420 |
Średnia |
Eskalacja uprawnień |
Podejrzane modyfikacje atrybutu dNSHostName (CVE-2022-26923) |
2421 |
Maksimum |
Eskalacja uprawnień |
Próba delegowania podejrzanego protokołu Kerberos przez nowo utworzony komputer |
2422 |
Maksimum |
Eskalacja uprawnień |
Podejrzane modyfikacje atrybutu Ograniczone delegowanie oparte na zasobach według konta komputera |
2423 |
Maksimum |
Eskalacja uprawnień |
Nieprawidłowe uwierzytelnianie usług Active Directory Federation Services (AD FS) przy użyciu podejrzanego certyfikatu |
2424 |
Maksimum |
Dostęp poświadczeń |
Podejrzane użycie certyfikatu za pośrednictwem protokołu Kerberos (PKINIT) |
2425 |
Maksimum |
Ruch boczny |
Podejrzany atak DFSCoerce przy użyciu rozproszonego protokołu systemu plików |
2426 |
Maksimum |
Dostęp poświadczeń |
Zmodyfikowano atrybuty użytkownika wystawione jako przynęta |
2427 |
Maksimum |
Trwałość |
Zmieniono członkostwo grupy honeytoken |
2428 |
Maksimum |
Trwałość |
Zapytanie o token honeytoken został zapytany za pośrednictwem protokołu LDAP |
2429 |
Minimum |
Odnajdowanie |
Podejrzane modyfikacje Administracja SdHolder domeny |
2430 |
Maksimum |
Trwałość |
Podejrzenie przejęcia konta przy użyciu poświadczeń w tle |
2431 |
Maksimum |
Dostęp poświadczeń |
Podejrzane żądanie certyfikatu kontrolera domeny (ESC8) |
2432 |
Maksimum |
Eskalacja uprawnień |
Podejrzane usuwanie wpisów bazy danych certyfikatów |
2433 |
Średnia |
Uchylanie się od obrony |
Podejrzane wyłączenie filtrów inspekcji usług AD CS |
2434 |
Średnia |
Uchylanie się od obrony |
Podejrzane modyfikacje uprawnień/ustawień zabezpieczeń usług AD CS |
2435 |
Średnia |
Eskalacja uprawnień |
Rekonesans wyliczania konta (LDAP) (wersja zapoznawcza) |
2437 |
Średnia |
Odnajdywanie kont, konto domeny |
Zmiana hasła trybu przywracania usług katalogowych (wersja zapoznawcza) |
2438 |
Średnia |
Trwałość, manipulowanie kontem |
Zapytanie o token honeytoken został zapytany za pośrednictwem protokołu SAM-R |
2439 |
Minimum |
Odnajdowanie |