| Suspeita de injeção de SID-History |
1106 |
Alto |
Elevação de privilégio |
| Suspeita de ataque overpass-the-hash (Kerberos) |
2002 |
Médio |
Movimento lateral |
| Reconhecimento de enumeração de conta |
2003 |
Médio |
Descoberta |
| Suspeita de ataque de força bruta (LDAP) |
2004 |
Médio |
Acesso de credenciais |
| Suspeita de ataque DCSync (replicação de serviços de diretório) |
2006 |
Alto |
Acesso a credenciais, Persistência |
| Reconhecimento de mapeamento de rede (DNS) |
2007 |
Médio |
Descoberta |
| Suspeita de ataque Pass-the-Hash (tipo de criptografia forçada) |
2008 |
Médio |
Movimento lateral |
| Suspeita de uso de Golden Ticket (downgrade de criptografia) |
2009 |
Médio |
Persistência, Elevação de privilégio, Movimentação lateral |
| Suspeita de ataque Skeleton Key (downgrade de criptografia) |
2010 |
Médio |
Persistência, Movimentação lateral |
| Reconhecimento de usuário e endereço IP (SMB) |
2012 |
Médio |
Descoberta |
| Suspeita de uso de Golden Ticket (dados de autorização falsificados) |
2013 |
Alto |
Acesso de credenciais |
| Atividade de autenticação do Honeytoken |
2014 |
Médio |
Acesso a credenciais, Descoberta |
| Suspeita de roubo de identidade (Pass-the-Hash) |
2017 |
Alto |
Movimento lateral |
| Suspeita de roubo de identidade (Pass-the-Ticket) |
2018 |
Alta ou Média |
Movimento lateral |
| Tentativa de execução remota de código |
2019 |
Médio |
Execução, Persistência, Elevação de privilégio, Evasão de defesa, Movimentação lateral |
| Solicitação maliciosa de chave mestra da API de Proteção de Dados |
2020 |
Alto |
Acesso de credenciais |
| Reconhecimento de usuário e de associação de grupo (SAMR) |
2021 |
Médio |
Descoberta |
| Suspeita de uso de Golden Ticket (anomalia de horário) |
2022 |
Alto |
Persistência, Elevação de privilégio, Movimentação lateral |
| Suspeita de ataque de força bruta (Kerberos, NTLM) |
2023 |
Médio |
Acesso de credenciais |
| Adições suspeitas a grupos confidenciais |
2024 |
Médio |
Persistência, Acesso a credenciais |
| Conexão VPN suspeita |
2025 |
Médio |
Evasão de defesa, Persistência |
| Criação de serviço suspeito |
2026 |
Médio |
Execução, Persistência, Elevação de privilégio, Evasão de defesa, Movimentação lateral |
| Suspeita de uso de Golden Ticket (conta inexistente) |
2027 |
Alto |
Persistência, Elevação de privilégio, Movimentação lateral |
| Suspeita de ataque DCShadow (promoção do controlador de domínio) |
2028 |
Alto |
Evasão de defesa |
| Suspeita de ataque DCShadow (solicitação de replicação do controlador de domínio) |
2029 |
Alto |
Evasão de defesa |
| Exfiltração de dados por SMB |
2030 |
Alto |
Exfiltração, Movimentação lateral, Comando e controle |
| Comunicação suspeita por DNS |
2031 |
Médio |
Exfiltração |
| Suspeita de uso de Golden Ticket (anomalia de tíquete) |
2032 |
Alto |
Persistência, Elevação de privilégio, Movimentação lateral |
| Suspeita de ataque de força bruta (SMB) |
2033 |
Médio |
Movimento lateral |
| Suspeita de uso de estrutura de hacking Metasploit |
2034 |
Médio |
Movimento lateral |
| Suspeita de ataque de ransomware WannaCry |
2035 |
Médio |
Movimento lateral |
| Execução remota de código por DNS |
2036 |
Médio |
Movimentação lateral, Elevação de privilégio |
| Suspeita de ataque de retransmissão NTLM |
2.037 |
Média ou Baixa se observada usando o protocolo NTLM v2 assinado |
Movimentação lateral, Elevação de privilégio |
| Reconhecimento de entidade de segurança (LDAP) |
2038 |
Médio |
Acesso de credenciais |
| Suspeita de adulteração de autenticação NTLM |
2039 |
Médio |
Movimentação lateral, Elevação de privilégio |
| Suspeita de uso de Golden Ticket (anomalia de tíquete usando RBCD) |
2040 |
Alto |
Persistência |
| Suspeita de uso de certificado Kerberos fraudulento |
2047 |
Alto |
Movimento lateral |
| Tentativa suspeita de delegação do Kerberos usando o método BronzeBit (exploração da atualização CVE-2020-17049) |
2.048 |
Médio |
Acesso de credenciais |
| Reconhecimento de atributos do Active Directory (LDAP) |
2210 |
Médio |
Descoberta |
| Suspeita de manipulação de pacotes SMB (exploração CVE-2020-0796) |
2406 |
Alto |
Movimento lateral |
| Suspeita de exposição ao SPN Kerberos |
2410 |
Alto |
Acesso de credenciais |
| Suspeita de tentativa de elevação de privilégio Netlogon (exploração CVE-2020-1472) |
2411 |
Alto |
Elevação de privilégio |
| Suspeita de ataque AS-REP Roasting |
2.412 |
Alto |
Acesso de credenciais |
| Leitura suspeita da chave DKM do AD FS |
2413 |
Alto |
Acesso de credenciais |
| Execução remota de código do servidor Exchange (CVE-2021-26855) |
2414 |
Alto |
Movimento lateral |
| Suspeita de tentativa de exploração no serviço de spooler de Impressão do Windows |
2415 |
Alta ou Média |
Movimento lateral |
| Conexão de rede suspeita pelo protocolo remoto do Encrypting File System |
2416 |
Alta ou Média |
Movimento lateral |
| Suspeita de solicitação de tíquete Kerberos suspeita |
2418 |
Alto |
Acesso de credenciais |
| Modificação suspeita de um atributo sAMNameAccount (exploração CVE-2021-42278 e CVE-2021-42287) |
2419 |
Alto |
Acesso de credenciais |
| Modificação suspeita da relação de confiança do servidor AD FS |
2420 |
Médio |
Elevação de privilégio |
| Modificação suspeita de um atributo dNSHostName (CVE-2022-26923) |
2421 |
Alto |
Elevação de privilégio |
| Tentativa suspeita de delegação Kerberos por um computador recém-criado |
2422 |
Alto |
Elevação de privilégio |
| Modificação suspeita do atributo Delegação Restrita Baseada em recursos por uma conta de computador |
2423 |
Alto |
Elevação de privilégio |
| Autenticação anormal dos Serviços de Federação do Active Directory (AD FS) usando um certificado suspeito |
2424 |
Alto |
Acesso de credenciais |
| Uso suspeito de certificado sobre o protocolo Kerberos (PKINIT) |
2425 |
Alto |
Movimento lateral |
| Suspeita de ataque DFSCoerce usando o Protocolo de Sistema de Arquivos Distribuído |
2426 |
Alto |
Acesso de credenciais |
| Atributos do usuário Honeytoken modificados |
2427 |
Alto |
Persistência |
| A associação ao grupo Honeytoken foi alterada |
2428 |
Alto |
Persistência |
| O Honeytoken foi consultado por meio do LDAP |
2429 |
Baixo |
Descoberta |
| Modificação suspeita do domínio AdminSdHolder |
2430 |
Alto |
Persistência |
| Suspeita de aquisição de conta usando credenciais ocultas |
2431 |
Alto |
Acesso de credenciais |
| Solicitação de certificado de controlador de domínio suspeito (ESC8) |
2432 |
Alto |
Elevação de privilégio |
| Exclusão suspeita das entradas do banco de dados de certificados |
2433 |
Médio |
Evasão de defesa |
| Desativação suspeita de filtros de auditoria do AD CS |
2434 |
Médio |
Evasão de defesa |
| Modificações suspeitas nas permissões/configurações de segurança do AD CS |
2435 |
Médio |
Elevação de privilégio |
| Reconhecimento de enumeração de conta (LDAP) (Versão preliminar) |
2437 |
Médio |
Descoberta de Conta, Conta de Domínio |
| Alteração de senha do modo de restauração dos Serviços de Diretório |
2438 |
Médio |
Persistência, Manipulação de Conta |
| O Honeytoken foi consultado por meio do SAM-R |
2.439 |
Baixo |
Descoberta |
| Violação de Política de Grupo |
2440 |
Médio |
Evasão de defesa |