Discovery (MITRE-Taktik)
Was ist Discovery (MITRE-Taktik)?
Discovery (MITRE-Taktik)MITRE-ATT&CK-Taktik (TA0007), die Techniken bündelt, mit denen Angreifer eine kompromittierte Umgebung nach dem Eindringen kartieren.
Discovery (MITRE-ATT&CK-Taktik TA0007) beschreibt die interne Aufklärung nach dem Foothold. Sie umfasst Konten-Enumeration, System- und Netzwerk-Konfigurationsdiscovery, Domain-Trust-Enumeration, Datei- und Verzeichnislisten, Browser-Bookmark- und Passwort-Store-Auslesen, Cloud-Service-Discovery, Security-Software-Discovery sowie Tools wie BloodHound zur Visualisierung von Angriffspfaden im Active Directory. Discovery ist überwiegend lesend und daher schwer direkt zu blockieren, hinterlässt aber charakteristische Kommandozeilen- und API-Muster. Verteidiger setzen auf EDR, Command-Line-Auditing, Deception (Honey-Accounts/-Files) und gezielte Erkennungen für BloodHound, AdFind oder net.exe-Sweeps, um Angreifer zwischen Initial Access und Lateral Movement zu erwischen.
● Beispiele
- 01
Ausführen des SharpHound-Collectors von BloodHound, um Privilegienpfade zum Domain Admin zu kartieren.
- 02
Aufruf von net group "Domain Admins" /domain zur Enumeration privilegierter Konten.
● Häufige Fragen
Was ist Discovery (MITRE-Taktik)?
MITRE-ATT&CK-Taktik (TA0007), die Techniken bündelt, mit denen Angreifer eine kompromittierte Umgebung nach dem Eindringen kartieren. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Discovery (MITRE-Taktik)?
MITRE-ATT&CK-Taktik (TA0007), die Techniken bündelt, mit denen Angreifer eine kompromittierte Umgebung nach dem Eindringen kartieren.
Wie funktioniert Discovery (MITRE-Taktik)?
Discovery (MITRE-ATT&CK-Taktik TA0007) beschreibt die interne Aufklärung nach dem Foothold. Sie umfasst Konten-Enumeration, System- und Netzwerk-Konfigurationsdiscovery, Domain-Trust-Enumeration, Datei- und Verzeichnislisten, Browser-Bookmark- und Passwort-Store-Auslesen, Cloud-Service-Discovery, Security-Software-Discovery sowie Tools wie BloodHound zur Visualisierung von Angriffspfaden im Active Directory. Discovery ist überwiegend lesend und daher schwer direkt zu blockieren, hinterlässt aber charakteristische Kommandozeilen- und API-Muster. Verteidiger setzen auf EDR, Command-Line-Auditing, Deception (Honey-Accounts/-Files) und gezielte Erkennungen für BloodHound, AdFind oder net.exe-Sweeps, um Angreifer zwischen Initial Access und Lateral Movement zu erwischen.
Wie schützt man sich gegen Discovery (MITRE-Taktik)?
Schutzmaßnahmen gegen Discovery (MITRE-Taktik) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Discovery (MITRE-Taktik)?
Übliche alternative Bezeichnungen: Interne Aufklärung, TA0007.
● Verwandte Begriffe
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 107
BloodHound
Ein Open-Source-Werkzeug, das mit Graphentheorie Angriffspfade in Active Directory und Azure AD zu hochwertigen Zielen wie Domain Admin abbildet und analysiert.
- defense-ops№ 905
Reconnaissance
Erste Angriffsphase, in der Angreifer Informationen über Mitarbeitende, Technologie und Angriffsfläche eines Ziels sammeln, bevor sie eindringen.
- defense-ops№ 606
Lateral Movement
MITRE-ATT&CK-Taktik (TA0008), die Techniken bündelt, mit denen sich Angreifer von einem kompromittierten Host auf weitere Systeme in der Umgebung ausbreiten.
- identity-access№ 013
Active Directory
Unternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
- defense-ops№ 265
Cyber Kill Chain
Siebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt.