Discovery (MITRE-Taktik)
Was ist Discovery (MITRE-Taktik)?
Discovery (MITRE-Taktik)MITRE-ATT&CK-Taktik (TA0007), die Techniken bündelt, mit denen Angreifer eine kompromittierte Umgebung nach dem Eindringen kartieren.
Discovery (MITRE-ATT&CK-Taktik TA0007) beschreibt die interne Aufklärung nach dem Foothold. Sie umfasst Konten-Enumeration, System- und Netzwerk-Konfigurationsdiscovery, Domain-Trust-Enumeration, Datei- und Verzeichnislisten, Browser-Bookmark- und Passwort-Store-Auslesen, Cloud-Service-Discovery, Security-Software-Discovery sowie Tools wie BloodHound zur Visualisierung von Angriffspfaden im Active Directory. Discovery ist überwiegend lesend und daher schwer direkt zu blockieren, hinterlässt aber charakteristische Kommandozeilen- und API-Muster. Verteidiger setzen auf EDR, Command-Line-Auditing, Deception (Honey-Accounts/-Files) und gezielte Erkennungen für BloodHound, AdFind oder net.exe-Sweeps, um Angreifer zwischen Initial Access und Lateral Movement zu erwischen.
● Beispiele
- 01
Ausführen des SharpHound-Collectors von BloodHound, um Privilegienpfade zum Domain Admin zu kartieren.
- 02
Aufruf von net group "Domain Admins" /domain zur Enumeration privilegierter Konten.
● Häufige Fragen
Was ist Discovery (MITRE-Taktik)?
MITRE-ATT&CK-Taktik (TA0007), die Techniken bündelt, mit denen Angreifer eine kompromittierte Umgebung nach dem Eindringen kartieren. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Discovery (MITRE-Taktik)?
MITRE-ATT&CK-Taktik (TA0007), die Techniken bündelt, mit denen Angreifer eine kompromittierte Umgebung nach dem Eindringen kartieren.
Wie schützt man sich gegen Discovery (MITRE-Taktik)?
Schutzmaßnahmen gegen Discovery (MITRE-Taktik) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Discovery (MITRE-Taktik)?
Übliche alternative Bezeichnungen: Interne Aufklärung, TA0007.