Discovery (тактика MITRE)
Что такое Discovery (тактика MITRE)?
Discovery (тактика MITRE)Тактика MITRE ATT&CK (TA0007), охватывающая техники изучения скомпрометированной среды после получения доступа.
Discovery (тактика MITRE ATT&CK TA0007) описывает внутреннюю разведку, которую противник проводит после закрепления. Сюда входят перечисление учётных записей, выявление конфигурации систем и сети, перечисление доменных доверий, перечень файлов и каталогов, чтение закладок и хранилищ паролей браузера, обнаружение облачных сервисов и средств защиты, а также инструменты вроде BloodHound для построения путей атаки в Active Directory. Это преимущественно операции на чтение, которые трудно блокировать напрямую, но они оставляют характерные паттерны командной строки и API-вызовов. Защитники используют EDR, аудит командной строки, обман (honey-аккаунты/файлы) и детекторы для BloodHound, AdFind или сканов net.exe, чтобы поймать атакующего между первоначальным доступом и латеральным перемещением.
● Примеры
- 01
Запуск коллектора SharpHound из BloodHound для построения путей привилегий до Domain Admin.
- 02
Выполнение net group "Domain Admins" /domain для перечисления привилегированных учётных записей.
● Частые вопросы
Что такое Discovery (тактика MITRE)?
Тактика MITRE ATT&CK (TA0007), охватывающая техники изучения скомпрометированной среды после получения доступа. Относится к категории Защита и операции в кибербезопасности.
Что означает Discovery (тактика MITRE)?
Тактика MITRE ATT&CK (TA0007), охватывающая техники изучения скомпрометированной среды после получения доступа.
Как защититься от Discovery (тактика MITRE)?
Защита от Discovery (тактика MITRE) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Discovery (тактика MITRE)?
Распространённые альтернативные названия: Внутренняя разведка, TA0007.