| Podejrzenie wstrzyknięcia historii identyfikatora SID |
1106 |
Maksimum |
Eskalacja uprawnień |
| Podejrzany atak overpass-the-hash (Kerberos) |
2002 |
Średnia |
Ruch boczny |
| Rekonesans wyliczania kont |
2003 |
Średnia |
Odnajdowanie |
| Podejrzany atak siłowy (LDAP) |
2004 |
Średnia |
Dostęp poświadczeń |
| Podejrzany atak DCSync (replikacja usług katalogowych) |
2006 |
Maksimum |
Dostęp poświadczeń, trwałość |
| Rekonesans mapowania sieci (DNS) |
2007 |
Średnia |
Odnajdowanie |
| Podejrzewano atak typu over-pass-the-hash (wymuszony typ szyfrowania) |
2008 |
Średnia |
Ruch boczny |
| Podejrzenie użycia biletu złotego (obniżenie poziomu szyfrowania) |
2009 |
Średnia |
Trwałość, eskalacja uprawnień, ruch boczny |
| Podejrzenie ataku na klucz szkieletowy (obniżenie poziomu szyfrowania) |
2010 |
Średnia |
Trwałość, ruch poprzeczny |
| Rekonesans użytkownika i adresu IP (SMB) |
2012 |
Średnia |
Odnajdowanie |
| Podejrzane użycie biletu złotego (sfałszowane dane autoryzacji) |
2013 |
Maksimum |
Dostęp poświadczeń |
| Działanie uwierzytelniania wystawione jako przynęta |
2014 |
Średnia |
Dostęp poświadczeń, odnajdywanie |
| Podejrzenie kradzieży tożsamości (pass-the-hash) |
2017 |
Maksimum |
Ruch boczny |
| Podejrzenie kradzieży tożsamości (pass-the-ticket) |
2018 |
Wysoki lub Średni |
Ruch boczny |
| Próba zdalnego wykonania kodu |
2019 |
Średnia |
Wykonywanie, Trwałość, Eskalacja uprawnień, Uchylanie się od obrony, Ruch boczny |
| Złośliwe żądanie klucza głównego interfejsu API ochrony danych |
2020 |
Maksimum |
Dostęp poświadczeń |
| Rekonesans członkostwa użytkowników i grup (SAMR) |
2021 |
Średnia |
Odnajdowanie |
| Podejrzane użycie biletu złotego (anomalia czasowa) |
2022 |
Maksimum |
Trwałość, eskalacja uprawnień, ruch boczny |
| Podejrzenie ataku siłowego (Kerberos, NTLM) |
2023 |
Średnia |
Dostęp poświadczeń |
| Podejrzane dodatki do grup poufnych |
2024 |
Średnia |
Trwałość, dostęp poświadczeń, |
| Podejrzane połączenie sieci VPN |
2025 |
Średnia |
Uchylanie się od obrony, Trwałość |
| Podejrzane tworzenie usługi |
2026 |
Średnia |
Wykonywanie, trwałość, eskalacja uprawnień, uchylanie się od obrony, ruch boczny |
| Podejrzenie użycia biletu złotego (nieistniejących kont) |
2027 |
Maksimum |
Trwałość, eskalacja uprawnień, ruch boczny |
| Podejrzany atak DCShadow (podwyższenie poziomu kontrolera domeny) |
2028 |
Maksimum |
Uchylanie się od obrony |
| Podejrzany atak DCShadow (żądanie replikacji kontrolera domeny) |
2029 |
Maksimum |
Uchylanie się od obrony |
| Eksfiltracja danych za pośrednictwem protokołu SMB |
2030 |
Maksimum |
Eksfiltracja, ruch poprzeczny, polecenie i kontrola |
| Podejrzana komunikacja za pośrednictwem systemu DNS |
2031 |
Średnia |
Wyprowadzanie |
| Podejrzenie użycia biletu złotego (anomalia biletu) |
2032 |
Maksimum |
Trwałość, eskalacja uprawnień, ruch boczny |
| Podejrzenie ataku siłowego (SMB) |
2033 |
Średnia |
Ruch boczny |
| Podejrzenie użycia platformy hakerskiej Metasploit |
2034 |
Średnia |
Ruch boczny |
| Podejrzany atak ransomware WannaCry |
2035 |
Średnia |
Ruch boczny |
| Zdalne wykonywanie kodu za pośrednictwem systemu DNS |
2036 |
Średnia |
Ruch poprzeczny, eskalacja uprawnień |
| Podejrzany atak przekaźnika NTLM |
2037 |
Średni lub niski, jeśli zaobserwowano użycie podpisanego protokołu NTLM w wersji 2 |
Ruch poprzeczny, eskalacja uprawnień |
| Rekonesans podmiotu zabezpieczeń (LDAP) |
2038 |
Średnia |
Dostęp poświadczeń |
| Podejrzenie naruszenia uwierzytelniania NTLM |
2039 |
Średnia |
Ruch poprzeczny, eskalacja uprawnień |
| Podejrzenie użycia biletu złotego (anomalia biletu przy użyciu protokołu RBCD) |
2040 |
Maksimum |
Trwałość |
| Podejrzenie użycia nieautoryzowanych certyfikatów Protokołu Kerberos |
2047 |
Maksimum |
Ruch boczny |
| Podejrzane próby delegowania protokołu Kerberos przy użyciu metody BronzeBit (CVE-2020-17049) |
2048 |
Średnia |
Dostęp poświadczeń |
| Rekonesans atrybutów usługi Active Directory (LDAP) |
2210 |
Średnia |
Odnajdowanie |
| Podejrzenie manipulacji pakietami SMB (CVE-2020-0796 wyzysk) |
2406 |
Maksimum |
Ruch boczny |
| Podejrzenie ujawnienia głównej nazwy usługi Kerberos |
2410 |
Maksimum |
Dostęp poświadczeń |
| Podejrzenie próby podniesienia uprawnień netlogon (CVE-2020-1472 wyzysk) |
2411 |
Maksimum |
Eskalacja uprawnień |
| Podejrzany atak prażenia AS-REP |
2412 |
Maksimum |
Dostęp poświadczeń |
| Podejrzenie odczytu klucza DKM usług AD FS |
2413 |
Maksimum |
Dostęp poświadczeń |
| Zdalne wykonywanie kodu serwera Exchange (CVE-2021-26855) |
2414 |
Maksimum |
Ruch boczny |
| Podejrzenie próby wykorzystania w usłudze buforu wydruku systemu Windows |
2415 |
Wysoki lub Średni |
Ruch boczny |
| Podejrzane połączenie sieciowe za pośrednictwem protokołu zdalnego szyfrowania systemu plików |
2416 |
Wysoki lub Średni |
Ruch boczny |
| Podejrzenie podejrzanego żądania biletu kerberos |
2418 |
Maksimum |
Dostęp poświadczeń |
| Podejrzane modyfikacje atrybutu sAMNameAccount (CVE-2021-42278 i CVE-2021-42287) |
2419 |
Maksimum |
Dostęp poświadczeń |
| Podejrzane modyfikacje relacji zaufania serwera usług AD FS |
2420 |
Średnia |
Eskalacja uprawnień |
| Podejrzane modyfikacje atrybutu dNSHostName (CVE-2022-26923) |
2421 |
Maksimum |
Eskalacja uprawnień |
| Próba delegowania podejrzanego protokołu Kerberos przez nowo utworzony komputer |
2422 |
Maksimum |
Eskalacja uprawnień |
| Podejrzane modyfikacje atrybutu Ograniczone delegowanie oparte na zasobach według konta komputera |
2423 |
Maksimum |
Eskalacja uprawnień |
| Nieprawidłowe uwierzytelnianie usług Active Directory Federation Services (AD FS) przy użyciu podejrzanego certyfikatu |
2424 |
Maksimum |
Dostęp poświadczeń |
| Podejrzane użycie certyfikatu za pośrednictwem protokołu Kerberos (PKINIT) |
2425 |
Maksimum |
Ruch boczny |
| Podejrzany atak DFSCoerce przy użyciu rozproszonego protokołu systemu plików |
2426 |
Maksimum |
Dostęp poświadczeń |
| Zmodyfikowano atrybuty użytkownika wystawione jako przynęta |
2427 |
Maksimum |
Trwałość |
| Zmieniono członkostwo grupy honeytoken |
2428 |
Maksimum |
Trwałość |
| Zapytanie o token honeytoken został zapytany za pośrednictwem protokołu LDAP |
2429 |
Minimum |
Odnajdowanie |
| Podejrzane modyfikacje Administracja SdHolder domeny |
2430 |
Maksimum |
Trwałość |
| Podejrzenie przejęcia konta przy użyciu poświadczeń w tle |
2431 |
Maksimum |
Dostęp poświadczeń |
| Podejrzane żądanie certyfikatu kontrolera domeny (ESC8) |
2432 |
Maksimum |
Eskalacja uprawnień |
| Podejrzane usuwanie wpisów bazy danych certyfikatów |
2433 |
Średnia |
Uchylanie się od obrony |
| Podejrzane wyłączenie filtrów inspekcji usług AD CS |
2434 |
Średnia |
Uchylanie się od obrony |
| Podejrzane modyfikacje uprawnień/ustawień zabezpieczeń usług AD CS |
2435 |
Średnia |
Eskalacja uprawnień |
| Rekonesans wyliczania konta (LDAP) (wersja zapoznawcza) |
2437 |
Średnia |
Odnajdywanie kont, konto domeny |
| Zmiana hasła trybu przywracania usług katalogowych (wersja zapoznawcza) |
2438 |
Średnia |
Trwałość, manipulowanie kontem |
| Zapytanie o token honeytoken został zapytany za pośrednictwem protokołu SAM-R |
2439 |
Minimum |
Odnajdowanie |