mdecrevoisier/EVTX-to-MITRE-Attack

GitHub: mdecrevoisier/EVTX-to-MITRE-Attack

提供超过270个按MITRE ATT&CK框架分类的Windows EVTX安全事件日志样本，用于评估和提升SIEM系统的威胁检测覆盖能力。

Stars: 628 | Forks: 97

# EVTX 转换至 MITRE ATT@CK ## 项目目的 **EVTX to MITRE ATT@CK** 是一个面向*安全信息管理系统 (SIEM)* 的项目。它提供了按战术和技术分类的超过 270 个 Windows IOCs 指标，旨在借助您的 SIEM 应对不同的安全场景： * 衡量您的安全覆盖范围 * 增强您的检测能力 * 识别安全漏洞或未覆盖的威胁 * 设计新的用例 ## 如何使用 IOCs IOCs 以 EVTX 格式提供，这是 Microsoft 从 Windows Server 2008 和 Windows Vista 开始为事件日志建立的标准格式。根据您使用的 SIEM 解决方案，您可能需要让您的代理 (NXLog、Winlogbeat、Splunk UF、ArcSight、WinCollect、Snare 等) 指向 EVTX 文件，并以适当的格式将内容发送到您的 SIEM。 ## 使用的 Microsoft 日志源： * Windows 10 * Windows Server 2012 R2 及更高版本 * Active Directory 域服务 * 带有在线响应程序 (OCSP) 的 Active Directory 证书服务 (ADCS / PKI) * SQL Server 2014 * Windows Defender * SYSMON v11 及更高版本 * Exchange 2016 * Internet Information Services (IIS web server) -- *计划中* ## 相关和/或关联项目：如果您对围绕 SIGMA 和 EVTX 分析的外部项目感兴趣，我推荐以下项目： * 来自 @sbousseaden 的 **EVTX-ATTACK**：https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES * **OTRF/Security-Datasets (来自 Mordor 项目)**：https://github.com/OTRF/Security-Datasets/tree/master/datasets/atomic/windows * **Atomic RedTeam**：https://github.com/redcanaryco/atomic-red-team * 使用 Winlogbeat 将 EVTX 导出至 Elastic：https://medium.com/@duzvik/import-evtx-collections-in-to-elastic-989b7f49b4b8 * **EvtxToElk**：https://www.dragos.com/blog/industry-news/evtxtoelk-a-python-module-to-load-windows-event-logs-into-elasticsearch/ * **Zircolite** (用于 EVTX 的 SIGMA 检测)：https://github.com/wagga40/Zircolite ## IOCs 内容 ATT@CK 战术 | ATT@CK 技术 | 描述 | 事件 ID | 威胁名称 / 工具 / CVE |:-------------------------|:------------------|:-------------------------|:------------------|:------------------| 防病毒 | 防病毒 | Defender：防病毒软件未更新 | 1151 | 防病毒 | 防病毒 | Defender：在多个主机上检测到大规模恶意软件爆发 | 1116 | 防病毒 | 防病毒 | Defender：在单个主机上检测到大量恶意软件 | 1116 | TA0001-初始访问 | T1078.002-有效账户-域账户 | 由于账户策略限制而拒绝登录 | 4625 | TA0001-初始访问 | T1078.002-有效账户-域账户 | 被禁用的账户从单一来源登录失败 | 33205 | TA0001-初始访问 | T1078.002-有效账户-域账户 | OpenSSH 服务器登录成功 | 4 | SSH server TA0001-初始访问 | T1078.002-有效账户-域账户 | OpenSSH 服务器登录成功 | 4624 | SSH server TA0001-初始访问 | T1078-有效账户 | 使用有效凭据对多个主机执行 RDP 侦察 | 4624 or 1149 | TA0002-执行 | T1047-Windows 管理规范 | Impacket WMIexec 进程执行 | 1 or 4688 | WMIexec TA0002-执行 | T1053.005-计划任务 | 由计划任务触发的交互式 shell (at，已弃用) | 1 or 4688 | TA0002-执行 | T1053.005-计划任务 | 创建具有 SYSTEM 权限的持久计划任务 | 1 or 4688 | TA0002-执行 | T1053.005-计划任务 | 通过命名管道远程创建计划任务 | 5145 | Atexec TA0002-执行 | T1053.005-计划任务 | 创建带有可疑参数的计划任务 | 4698 | Atexec TA0002-执行 | T1053.005-计划任务 | 计划任务被快速创建并删除 | 4698 and 4699 | Atexec TA0002-执行 | T1053.005-计划任务 | 创建计划任务 | 1 or 4688 | TA0002-执行 | T1059.001-命令和脚本解释器：PowerShell | 部署编码的 PowerShell 载荷 | 800 or 4103 or 4104 | TA0002-执行 | T1059.001-命令和脚本解释器：PowerShell | 基于 SMB 命名管道的交互式 PipeShell | 800 or 4103 or 4104 | TA0002-执行 | T1059.001-命令和脚本解释器：PowerShell | 通过 PowerShell 下载载荷 | 800 or 4103 or 4104 | TA0002-执行 | T1059.003-Windows 命令行 Shell | 通过进程执行部署编码的 PowerShell 载荷 | 1 or 4688 | TA0002-执行 | T1059.003-Windows 命令行 Shell | SQL Server 载荷注入用于反弹 shell (MSF) | 1 or 4688 | TA0002-执行 | T1204-用户执行 | 滥用 Edge 通过控制台下载载荷 | 1 or 4688 | TA0002-执行 | T1204-用户执行 | 滥用 Edge/Chrome 无头模式功能下载载荷 | 1 or 4688 | TA0002-执行 | T1569.002-服务执行 | 检测到 PSexec 安装 | 1 or 4688 | TA0002-执行 | T1569.002-服务执行 | 服务大量故障 (原生) | 7000 or 7009 | Tchopper TA0002-执行 | T1569.002-服务执行 | 服务大量安装 (原生) | 7045 or 4697 | Tchopper TA0002-执行 | T1569.002-服务执行 | 通过命名管道远程大量创建服务 (原生) | 5145 | Tchopper TA0003-持久化 | T1078.002-有效账户-域账户 | 账户被重命名为 "admin" (或类似名称) | 4781 | TA0003-持久化 | T1098.xxx-账户操纵 | 创建带有权限的计算机账户 | 4741 | CVE-2021-42278/42287 & SAM-the-admin TA0003-持久化 | T1098.xxx-账户操纵 | 计算机账户被重命名且不带尾部 $ | 4781 | CVE-2021-42278/42287 & SAM-the-admin TA0003-持久化 | T1098.xxx-账户操纵 | 高风险域组成员身份变更 | 4728 or 4756 | TA0003-持久化 | T1098.xxx-账户操纵 | 高风险 Exchange 组成员身份变更 | 4728 or 4756 or 4732 | TA0003-持久化 | T1098.xxx-账户操纵 | 高风险本地域本地组成员身份变更 | 4732 | TA0003-持久化 | T1098.xxx-账户操纵 | 高风险 Skype/Lync/OCS 组成员身份变更 | 4728 or 4756 or 4732 | TA0003-持久化 | T1098.xxx-账户操纵 | 主机委派设置被更改以用于潜在的滥用 (任何协议) | 4742 | Rubeus TA0003-持久化 | T1098.xxx-账户操纵 | 主机委派设置被更改以用于潜在的滥用 (任何服务，仅限 Kerberos) | 4742 | Rubeus TA0003-持久化 | T1098.xxx-账户操纵 | 主机委派设置被更改以用于潜在的滥用 (仅限 Kerberos) | 4742 | Rubeus TA0003-持久化 | T1098.xxx-账户操纵 | 低风险 Skype/Lync/OCS 组成员身份变更 | 4728 or 4756 or 4732 | TA0003-持久化 | T1098.xxx-账户操纵 | 中风险 Exchange 组成员身份变更 | 4728 or 4756 or 4732 | TA0003-持久化 | T1098.xxx-账户操纵 | 中风险本地域本地组成员身份变更 | 4732 | TA0003-持久化 | T1098.xxx-账户操纵 | 中风险 Skype/Lync/OCS 组成员身份变更 | 4728 or 4756 or 4732 | TA0003-持久化 | T1098.xxx-账户操纵 | 用户账户在短时间内将成员添加到组后又移除 | 4728/29,4756/57,4732/33 | TA0003-持久化 | T1098.xxx-账户操纵 | 同一账户将成员添加到组 | 4728 or 4756 or 4732 | TA0003-持久化 | T1098.xxx-账户操纵 | 成员被添加到 DNSadmins 组用于 DLL 滥用 | 4732 | DNS DLL abuse TA0003-持久化 | T1098.xxx-账户操纵 | 非管理员账户创建了新的管理员 (或类似情况) | 4720 | TA0003-持久化 | T1098.xxx-账户操纵 | 计算机账户的 SPN 修改 (目录服务) | 5136 | DCShadow TA0003-持久化 | T1098.xxx-账户操纵 | 计算机账户的 SPN 修改 | 4742 | TA0003-持久化 | T1098.xxx-账户操纵 | 计算机账户的 SPN 修改 | 4742 | DCShadow TA0003-持久化 | T1098.xxx-账户操纵 | 用户账户的 SPN 修改 | 5136 | Kerberoasting TA0003-持久化 | T1098.xxx-账户操纵 | SQL Server：新成员被添加到数据库角色 | 33205 | TA0003-持久化 | T1098.xxx-账户操纵 | SQL Server：新成员被添加到服务器角色 | 33205 | TA0003-持久化 | T1098.xxx-账户操纵 | 检测到创建和/或设置为可逆加密的用户账户 | 4738 | TA0003-持久化 | T1098.xxx-账户操纵 | 用户账户被标记为“敏感且无法被委派”的保护已被移除 | 4738 | TA0003-持久化 | T1098.xxx-账户操纵 | 用户账户被设置为不需要 Kerberos 预认证 | 4738 | TA0003-持久化 | T1098.xxx-账户操纵 | 用户账户被设置为使用 Kerberos DES 加密 | 4738 | TA0003-持久化 | T1098.xxx-账户操纵 | 检测到用户账户的密码被设置为永不过期 | 4738 | TA0003-持久化 | T1098.xxx-账户操纵 | 检测到用户账户的密码设置为不需要 | 4738 | TA0003-持久化 | T1098.xxx-账户操纵 | 使用当前哈希密码更改用户密码 - ChangeNTLM | 4723 | Mimikatz TA0003-持久化 | T1098.xxx-账户操纵 | 在未知先前密码的情况下更改用户密码 - SetNTLM | 4724 | Mimikatz TA0003-持久化 | T1098.xxx-账户操纵 | 用户在多个不同组上执行大量组成员身份更改 | 4728 or 4756 | TA0003-持久化 | T1098-账户操纵 | 计算机账户被设置为 RBCD 委派 | 5136 | TA0003-持久化 | T1098-账户操纵 | 已禁用的来宾或内置账户被激活 | 4722 | TA0003-持久化 | T1098-账户操纵 | SPN 被添加到账户 (命令行) | 1 or 4688 | TA0003-持久化 | T1136.001-创建账户-本地账户 | 隐藏账户创建 (伴随快速删除) | 4720 and 4726 | TA0003-持久化 | T1136.001-创建账户-本地账户 | 在单个主机上创建了本地账户 | 4720 | TA0003-持久化 | T1136.001-创建账户-本地账户 | SQL Server：已禁用的 SA 账户被启用 | 33205 | TA0003-持久化 | T1136.002-创建账户-域账户 | 计算机账户在短时间内被创建并删除 | 4741 and 4743 | TA0003-持久化 | T1136.002-创建账户-域账户 | 用户账户在短时间内被创建并删除 | 4720 and 4726 | TA0003-持久化 | T1136.002-创建账户-域账户 | 用户账户创建伪装为计算机账户 | 4720 or 4781 | TA0003-持久化 | T1136-创建账户 | 通过命令行创建用户 | 1 or 4688 | TA0003-持久化 | T1505.001-SQL 存储过程 | 利用 CLR 进行 SQL 横向移动 | 15457 | TA0003-持久化 | T1505.001-SQL 存储过程 | SQL Server xp_cmdshell 存储过程被激活 | 18457 | TA0003-持久化 | T1505.001-SQL 存储过程 | SQL Server：sqlcmd 和 ossql 实用程序滥用 | 1 or 4688 | TA0003-持久化 | T1505.001-SQL 存储过程 | SQL Server：以单用户模式启动用于密码恢复 | 1 or 4688 | TA0003-持久化 | T1505.002-服务器软件组件：传输代理 | 通过配置文件注入 Exchange 传输代理 | 11 | TA0003-持久化 | T1505.002-服务器软件组件：传输代理 | Exchange 传输代理安装痕迹 | 1 or 6 | TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | 通过服务安装部署编码的 PowerShell 载荷 | 7045 or 4697 | TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | Impacket SMBexec 服务注册 (原生) | 7045 or 4697 | SMBexec TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | 检测到 Mimikatz 服务驱动程序安装 | 7045 or 4697 | Mimikatz TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | 滥用带有后门的 "命令失败" 的服务 | 800 or 4103 or 4104 | TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | 滥用带有后门的 "命令失败" 的服务 (注册表) | 1 or 4688 | TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | 滥用带有后门的 "命令失败" 的服务 (服务) | 1 or 4688 | TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | 滥用带有恶意 ImagePath 的服务 | 800 or 4103 or 4104 | TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | 滥用带有恶意 ImagePath 的服务 (注册表) | 1 or 4688 | TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | 滥用带有恶意 ImagePath 的服务 (服务) | 1 or 4688 | TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | 创建用于 RDP 会话劫持的服务 | 7045 or 4697 | TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | 服务创建 (命令行) | 1 or 4688 | TA0003-持久化 | T1543.003-创建或修改系统进程-Windows 服务 | 服务创建 (PowerShell) | 800 or 4103 or 4104 | TA0003-持久化 | T1546.003-Windows 管理规范事件订阅 | 系统崩溃行为操纵 (注册表) | 13 | WMImplant TA0003-持久化 | T1546.003-Windows 管理规范事件订阅 | WMI 注册 | 800 or 4103 or 4104 | TA0003-持久化 | T1546.003-Windows 管理规范事件订阅 | WMI 注册 | 19 or 20 or 21 | TA0003-持久化 | T1546.007-Netsh 辅助 DLL | Netsh 辅助 DLL 命令滥用 | 1 or 4688 | TA0003-持久化 | T1546.007-Netsh 辅助 DLL | Netsh 辅助 DLL 注册表滥用 | 13 | TA0003-持久化 | T1546-事件触发执行 | AdminSDHolder 容器权限被修改 | 5136 | TA0003-持久化 | T1546-事件触发执行 | 扩展权限后门混淆 (通过 localizationDisplayId) | 5136 | TA0003-持久化 | T1547.008-启动或登录自动启动执行：LSASS 驱动程序 | 安全包 (SSP) 被加载到 LSA 中 (原生) | 4622 | TA0003-持久化 | T1547.009-启动或登录自动启动执行：快捷方式修改 | NTFS 硬链接创建 | 4664 | TA0003-持久化 | T1547.009-启动或登录自动启动执行：快捷方式修改 | NTFS 符号链接配置更改 | 1 or 4688 | TA0003-持久化 | T1547.009-启动或登录自动启动执行：快捷方式修改 | NTFS 符号链接创建 | 1 or 4688 | TA0003-持久化 | T1574.002-DLL 侧加载 | DNS DLL "serverlevelplugindll" 命令执行 | 1 or 4688 | DNS DLL abuse TA0003-持久化 | T1574.002-DLL 侧加载 | DNS 服务器加载失败的 DLL | 150 | DNS DLL abuse TA0003-持久化 | T1574.002-DLL 侧加载 | DNS 服务器成功加载的 DLL | 770 | DNS DLL abuse TA0003-持久化 | T1574.010-劫持执行流：服务文件权限弱点 | 服务权限被修改 (注册表) | 1 or 4688 | TA0003-持久化 | T1574.010-劫持执行流：服务文件权限弱点 | 服务权限被修改 (服务) | 1 or 4688 | TA0004-权限提升 | T1068-利用漏洞进行权限提升 | 滥用 SeMachineAccountPrivilege 权限 | 4673 | CVE-2021-42278/42287 & SAM-the-admin TA0004-权限提升 | T1134.001- 访问令牌操纵：令牌模拟/窃取 | 匿名登录 | 4624 and 4688 | RottenPotatoNG TA0004-权限提升 | T1134.002- 访问令牌操纵：使用令牌创建进程 | 通过 runas 进行权限提升 (命令行) | 4688 and 4648 and 4624 | TA0004-权限提升 | T1134.002- 访问令牌操纵：使用令牌创建进程 | 通过 RunasCS 进行权限提升 | 1 or 4688 | TA0004-权限提升 | T1134.005-访问令牌操纵：SID-History 注入 | 将 SID 历史值 S/F 添加到域账户 | 4765/4766/4738 | TA0004-权限提升 | T1134-访问令牌操纵 | 标准用户向账户授予了新的访问权限 | 4717 or 4718 | TA0004-权限提升 | T1134-访问令牌操纵 | 标准用户向账户授予了用户权限 | 4704 | TA0004-权限提升 | T1484.001-域策略修改-组策略修改 | 敏感组策略的修改 | 5136 | TA0004-权限提升 | T1484.002- 域或租户策略修改：信任修改 | 添加了新的外部信任 | 4865, 4076 | TA0004-权限提升 | T1543.003-创建或修改系统进程-Windows 服务 | 检测到 PSexec 服务安装 | 7045 or 4697 | TA0004-权限提升 | T1546.008-事件触发执行：辅助功能 | 通过粘滞键执行 CMD 并通过哈希检测到 | 1 or 4688 | Sticky key TA0004-权限提升 | T1546.008-事件触发执行：辅助功能 | 粘滞键通过命令执行调用了 CMD | 1 or 4688 | Sticky key TA0004-权限提升 | T1546.008-事件触发执行：辅助功能 | 粘滞键未能将 sethc 替换为 CMD | 4656 | Sticky key TA0004-权限提升 | T1546.008-事件触发执行：辅助功能 | 通过 CMD 复制创建的粘滞键文件 | 11 | Sticky key TA0004-权限提升 | T1546.008-事件触发执行：辅助功能 | 用于注册表更改的粘滞键 IFEO 命令 | 1 or 4688 | Sticky key TA0004-权限提升 | T1546.008-事件触发执行：辅助功能 | 粘滞键 IFEO 注册表被更改 | 12 or 12 | Sticky key TA0004-权限提升 | T1547.010-端口监视器 | 通过添加打印机进行打印后台处理程序权限提升 | 800 or 4103 or 4104 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0004-权限提升 | T1574.002-DLL 侧加载 | 映射了外部打印机 | 4688 and 4648 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0004-权限提升 | T1574.002-DLL 侧加载 | 添加了新的外部设备 | 6416 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0004-权限提升 | T1574.002-DLL 侧加载 | 安装了 Mimikatz 的打印后台驱动程序 | 808 or 354 or 321 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0004-权限提升 | T1574.002-DLL 侧加载 | 后台打印进程派生了一个 CMD shell | 1 or 4688 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0005-防御规避 | T1027-混淆的文件或信息 | 通过服务名称进行载荷混淆传输 | 1 or 4688 | Tchopper TA0005-防御规避 | T1070.001-主机上的指标移除 | 事件日志文件被清除 | 104 or 1102 | TA0005-防御规避 | T1070.001-主机上的指标移除 | 检测到清除事件日志文件的尝试 (命令行) | 1 or 4688 | TA0005-防御规避 | T1070.001-主机上的指标移除 | 检测到清除事件日志文件的尝试 | 800 or 4103 or 4104 | TA0005-防御规避 | T1070.001-主机上的指标移除 | 检测到清除事件日志文件的尝试 | 1 or 4688 | TA0005-防御规避 | T1070.006-时间戳篡改 | 系统时间被更改 | 4616 | TA0005-防御规避 | T1078.002-有效账户-域账户 | 检测到来自“特殊组”成员的用户登录 (特殊登录) | 4964 | TA0005-防御规避 | T1112-修改注册表 | Impacket SMBexec 服务注册 (注册表) | 13 | SMBexec TA0005-防御规避 | T1197-BITS 任务 | 检测到与可疑 BITS 活动相关的执行 | 1 or 4688 | TA0005-防御规避 | T1197-BITS 任务 | 检测到与可疑 BITS 活动相关的命令执行 | 800 or 4103 or 4104 | TA0005-防御规避 | T1197-BITS 任务 | 通过 BITS 下载大量数据 | 60 | TA0005-防御规避 | T1202- 间接命令执行 | WSL 激活 | 9 | TA0005-防御规避 | T1207-伪造的域控制器 | 新的伪造域控制器注册 | 5137 or 5141 | DCShadow TA0005-防御规避 | T1207-伪造的域控制器 | 访问了敏感属性 | 4662 | DCShadow TA0005-防御规避 | T1222.001-文件和目录权限修改 | 计算机账户修改 AD 权限 | 5136 | PrivExchange TA0005-防御规避 | T1222.001-文件和目录权限修改 | 网络共享权限被更改 | 5143 | TA0005-防御规避 | T1222.001-文件和目录权限修改 | OCSP 安全设置被更改 | 5124(OCSP) | TA0005-防御规避 | T1222.001-文件和目录权限修改 | GPO 上的权限被更改 | 5136 | TA0005-防御规避 | T1222.001-文件和目录权限修改 | 检测到与 "复制目录更改" 相关的敏感 GUID | 4662 | DCSync TA0005-防御规避 | T1553.003-颠覆信任控制：SIP 和信任提供程序劫持 | 可疑的 SIP 或信任提供程序注册 | 12 or 12 | TA0005-防御规避 | T1562.001-削弱防御：禁用或修改工具 | 卸载 SYSMON 驱动程序 | 1 | TA0005-防御规避 | T1562.001-削弱防御-禁用或修改工具 | Defender：关键安全组件被禁用 (命令行) | 1 or 4688 | TA0005-防御规避 | T1562.001-削弱防御-禁用或修改工具 | Defender：关键安全组件被禁用 | 800 or 4103 or 4104 | TA0005-防御规避 | T1562.001-削弱防御-禁用或修改工具 | Defender：默认操作设置为允许任何威胁 | 800 or 4103 or 4104 | TA0005-防御规避 | T1562.001-削弱防御-禁用或修改工具 | Defender：添加了排除项 (原生) | 5007 | TA0005-防御规避 | T1562.001-削弱防御-禁用或修改工具 | Defender：添加了排除项 | 800 or 4103 or 4104 | TA0005-防御规避 | T1562.001-削弱防御-禁用或修改工具 | Defender：服务组件状态被禁用 (通过 Sysmon 的注册表) | 13 | TA0005-防御规避 | T1562.001-削弱防御-禁用或修改工具 | 虚拟化被禁用 (Credential Guard) | 8 | TA0005-防御规避 | T1562.002-禁用 Windows 事件日志记录 | OCSP 审计设置被更改 | 5123(OCSP) | TA0005-防御规避 | T1562.002-削弱防御：禁用 Windows 事件日志记录 | | 541 | TA0005-防御规避 | T1562.002-削弱防御：禁用 Windows 事件日志记录 | 审计策略被禁用 | 4719 | TA0005-防御规避 | T1562.002-削弱防御：禁用 Windows 事件日志记录 | 在一个或多个主机上更改了域策略 | 4739 | TA0005-防御规避 | T1562.002-削弱防御：禁用 Windows 事件日志记录 | 特殊组的成员身份已更新 | 4908 | TA0005-防御规避 | T1562.002-削弱防御：禁用 Windows 事件日志记录 | SQL Server：审计对象被删除 | 33205 | TA0005-防御规避 | T1562.002-削弱防御：禁用 Windows 事件日志记录 | SQL Server：审计对象被禁用 | 33205 | TA0005-防御规避 | T1562.002-削弱防御：禁用 Windows 事件日志记录 | SQL Server：审计规范被删除 | 33205 | TA0005-防御规避 | T1562.002-削弱防御：禁用 Windows 事件日志记录 | SQL Server：审计规范被禁用 | 33205 | TA0005-防御规避 | T1562.002-削弱防御：禁用 Windows 事件日志记录 | SQL Server：数据库审计规范被删除 | 33205 | TA0005-防御规避 | T1562.002-削弱防御：禁用 Windows 事件日志记录 | SQL Server：数据库审计规范被禁用 | 33205 | TA0005-防御规避 | T1562.002-削弱防御：禁用 Windows 事件日志记录 | 尝试通过命令行禁用或清除审计策略 | 1 or 4688 | TA0005-防御规避 | T1562.004-禁用或修改系统防火墙 | 防火墙停用 | 1 or 4688 | TA0005-防御规避 | T1562.004-禁用或修改系统防火墙 | 防火墙停用 | 2003 or 4950 | TA0005-防御规避 | T1562.004-禁用或修改系统防火墙 | 防火墙停用 | 800 or 4103 or 4104 | TA0005-防御规避 | T1562.004-禁用/修改防火墙 (规则) | 创建了任意/任意防火墙规则 | 2004 | TA0005-防御规避 | T1562.004-禁用/修改防火墙 (规则) | 由可疑命令创建的防火墙规则 | 2004 | TA0005-防御规避 | T1562.004-禁用/修改防火墙 (规则) | 由用户账户创建的防火墙规则 | 2004 | TA0005-防御规避 | T1562.004-禁用/修改防火墙 (规则) | OpenSSH 服务器防火墙配置 (命令行) | 1 or 4688 | SSH server TA0005-防御规避 | T1562.004-禁用/修改防火墙 (规则) | OpenSSH 服务器防火墙配置 (防火墙) | 2004 | SSH server TA0005-防御规避 | T1562.004-禁用/修改防火墙 (规则) | OpenSSH 服务器防火墙配置 | 800 or 4103 or 4104 | SSH server TA0005-防御规避 | T1564.006-隐藏工件：运行虚拟实例 | 检测到安装适用于 Windows 的 WSL (命令行) | 1 or 4688 | TA0006-凭证访问 | T1003.001-凭据转储：LSASS | 使用 LSASSY 进行 LSASS 凭据转储 (内核) | 4656 or 4663 | TA0006-凭证访问 | T1003.001-凭据转储：LSASS | 使用 LSASSY 进行 LSASS 凭据转储 | 800 or 4103 or 4104 | TA0006-凭证访问 | T1003.001-凭据转储：LSASS | 使用 LSASSY 进行 LSASS 凭据转储 (进程) | 1 or 4688 | TA0006-凭证访问 | T1003.001-凭据转储：LSASS | 使用 LSASSY 进行 LSASS 凭据转储 (共享) | 5145 | TA0006-凭证访问 | T1003.001-凭据转储：LSASS | 通过任务管理器进行的 LSASS 凭据转储 (文件) | 11 | TA0006-凭证访问 | T1003.001-凭据转储：LSASS | 通过任务管理器访问进行的 LSASS 转储指标 | 1 or 4688 | TA0006-凭证访问 | T1003.001-凭据转储：LSASS | LSASS 进程被非系统账户访问 | 4656 or 4663 | TA0006-凭证访问 | T1003.001-凭据转储：LSASS | SAM 数据库用户凭据转储 | 4661 | Mimikatz TA0006-凭证访问 | T1003.001-凭据转储：LSASS | 任务管理器被用于转储 LSASS 进程 | 4663 | TA0006-凭证访问 | T1003.002-安全账户管理器 | 通过 SMB ADMIN$ 进行的密码转储 | 5145 | Secretdump TA0006-凭证访问 | T1003.002-安全账户管理器 | 在 DCshadow 期间访问 SAM 数据库 | 4661 | DCShadow TA0006-凭证访问 | T1003.003-NTDS | 创建了 IFM | 325 or 327 | TA0006-凭证访问 | T1003.003-NTDS | 从命令行创建了 IFM | 1 or 4688 | TA0006-凭证访问 | T1003.003-操作系统凭据转储 NTDS | DSRM 配置被更改 (通过命令行修改注册表) | 1 or 4688 | TA0006-凭证访问 | T1003.003-操作系统凭据转储 NTDS | DSRM 配置被更改 (通过 PowerShell 修改注册表) | 800 or 4103 or 4104 | TA0006-凭证访问 | T1003.003-操作系统凭据转储 NTDS | DSRM 密码重置 | 4794 | TA0006-凭证访问 | T1003.006-DCSync | 成员被添加到 Exchange DCsync 相关组 | 4728 or 4756 or 4732 | DCSync TA0006-凭证访问 | T1003-凭据转储 | 通过 WMI 更改注册表权限以引入后门 (DAMP) | 4674 | DAMP TA0006-凭证访问 | T1003-凭据转储 | Diskshadow 滥用 | 1 or 4688 | TA0006-凭证访问 | T1003-凭据转储 | Wdigest 身份验证被启用 (通过命令行修改注册表) | 1 or 4688 | TA0006-凭证访问 | T1003-凭据转储 | Wdigest 身份验证被启用 (通过 Sysmon 修改注册表) | 12 or 12 | TA0006-凭证访问 | T1040-网络嗅探 | Windows 原生嗅探工具 Pktmon 的使用 | 1 or 4688 | TA0006-凭证访问 | T1110.xxx-暴力破解 | 使用不存在的用户对 Windows OpenSSH 服务器进行暴力枚举 | 4625 or 4 | SSH server TA0006-凭证访问 | T1110.xxx-暴力破解 | 对具有有效用户的 Windows OpenSSH 服务器进行暴力破解 | 4625 or 4 | SSH server TA0006-凭证访问 | T1110.xxx-暴力破解 | 使用存在/不存在的用户进行的 Kerberos 暴力枚举 | 4771 or 4768 | TA0006-凭证访问 | T1110.xxx-暴力破解 | 使用不存在用户进行的 Kerberos 暴力破解 | 4771 or 4768 | TA0006-凭证访问 | T1110.xxx-暴力破解 | 目标主机上的本地登录失败 | 4625 | TA0006-凭证访问 | T1110.xxx-暴力破解 | 来自单一来源使用不同不存在账户的登录失败 | 33205 | TA0006-凭证访问 | T1552.004-不安全的凭据-私钥 | 检测到未知应用程序访问证书私钥 | 70(CAPI2) | Mimikatz TA0006-凭证访问 | T1555.003-来自密码存储的凭据：来自 Web 浏览器的凭据 | 通过网络共享转储用户浏览器凭据 | 5145 | DonPapi, Lazagne TA0006-凭证访问 | T1555.004-Windows 凭据管理器 | 通过网络共享转储凭据 (受 DPAPI 保护) | 5145 | DonPapi, Lazagne TA0006-凭证访问 | T1555.004-Windows 凭据管理器 | Vault 据被读取 | 5382 | TA0006-凭证访问 | T1555-来自密码存储的凭据 | 访问了可疑的 Active Directory DPAPI 属性 | 4662 | TA0006-凭证访问 | T1555-来自密码存储的凭据 | 通过网络共享转储用户文件 | 5145 | DonPapi, Lazagne TA0006-凭证访问 | T1557.001-中间人攻击：LLMNR/NBT-NS 中毒和 SMB 中继 | 为滥用打印后台处理程序漏洞通过命名管道进行的发现 | 5145 | TA0006-凭证访问 | T1557.001-中间人攻击：LLMNR/NBT-NS 中毒和 SMB 中继 | DNS 通配符区域条目 | 515 | TA0006-凭证访问 | T1558.001-黄金票据 | 与潜在黄金票据相关的 Kerberos TGS 票据请求 | 4769 | Golden ticket TA0006-凭证访问 | T1558.001-黄金票据 | 使用伪造的黄金票据访问 SMB Admin 共享 | 5140 or 5145 | Golden ticket TA0006-凭证访问 | T1558.001-黄金票据 | 使用伪造的黄金票据成功登录模拟 | 4624 | Golden ticket TA0006-凭证访问 | T1558.003-Kerberoasting | 检测到 KerberOAST 票据 (TGS) 请求 (低加密) | 4769 | Kerberoast TA0006-凭证访问 | T1558.004-窃取或伪造 Kerberos 票据：AS-REP Roasting | 检测到 Kerberos AS-REP Roasting 票据请求 | 4768 | AS-REP Roasting TA0006-凭证访问 | T1558-窃取或伪造 Kerberos 票据 | 不带尾部 $ 的 Kerberos 票据 | 4768 or 4769 | CVE-2021-42278/42287 & SAM-the-admin TA0006-凭证访问 | T1558-窃取或伪造 Kerberos 票据 | 可疑的 Kerberos 可代理票据 | 4768 | CVE-2021-42278/42287 & SAM-the-admin TA0006-凭证访问 | T1649- 窃取或伪造身份验证证书 | ADCS ESC1 证书请求 | 39 | TA0006-凭证访问 | T1649- 窃取或伪造身份验证证书 | ADCS ESC2 证书请求 | 4886 or 4887 | TA0006-凭证访问 | T1649- 窃取或伪造身份验证证书 | ADCS ESC3 证书请求 | 4886 or 4887 | TA0006-凭证访问 | T1649- 窃取或伪造身份验证证书 | ADCS ESC7 权限更改 | 4882 | TA0007-发现 | T1016-系统网络配置发现 | 枚举防火墙配置 (命令行) | 1 or 4688 | TA0007-发现 | T1016-系统网络配置发现 | 枚举防火墙配置 | 800 or 4103 or 4104 | TA0007-发现 | T1016-系统网络配置发现 | 检测到从非 DNS 服务器尝试进行区域传送 | 6004 (DNSserver) | TA0007-发现 | T1018-远程系统发现 | 通过网络共享访问 DNS hosts 文件 | 5145 | TA0007-发现 | T1046-网络服务扫描 | 在多个主机上执行 RDP 发现 | 131 | TA0007-发现 | T1046-网络服务扫描 | 可疑的匿名登录 | 4624 | TA0007-发现 | T1069.001-发现域组 | 通过 RID 暴力破解进行的本地域组枚举 | 4661 | CrackMapExec TA0007-发现 | T1069.001-发现本地组 | 远程本地组枚举 | 4799 | SharpHound TA0007-发现 | T1069.002-发现域组 | 域组枚举 | 4661 | CrackMapExec TA0007-发现 | T1069.002-发现域组 | 枚举蜜罐对象 (容器、计算机、组、用户) | 4662 | SharpHound TA0007-发现 | T1069.002-发现域组 | 大量 SAM 域用户和组发现 | 4661 | TA0007-发现 | T1069.002-发现域组 | 敏感 SAM 域用户和组发现 | 4661 | TA0007-发现 | T1069-权限组发现 | 通过命令行发现组 | 1 or 4688 | TA0007-发现 | T1069-权限组发现 | 通过 PowerShell 发现组 | 800 or 4103 or 4104 | TA0007-发现 | T1082-系统信息发现 | 收集审计策略设置 | 1 or 4688 | TA0007-发现 | T1087.002-域账户发现 | 从非管理主机调用 Active Directory PowerShell 模块 | 600 | TA0007-发现 | T1087.002-域账户发现 | 检测到单一来源通过 Kerberos 票据 (TGS) 执行主机枚举 | 4769 | SharpHound TA0007-发现 | T1087-账户发现 | SPN 枚举 (命令行) | 1 or 4688 | Kerberoast TA0007-发现 | T1087-账户发现 | SPN 枚举 | 800 or 4103 or 4104 | TA0007-发现 | T1087-账户发现 | 通过命令行进行用户枚举 | 1 or 4688 | TA0007-发现 | T1135-网络共享发现 | 主机通过 SMB 在不同主机上执行高级命名管道枚举 | 5145 | SharpHound TA0007-发现 | T1135-网络共享发现 | 通过命令行进行网络共享发现和/或连接 | 1 or 4688 | TA0007-发现 | T1135-网络共享发现 | 通过命令行操纵网络共享 | 1 or 4688 | TA0007-发现 | T1201-密码策略发现 | 域密码策略枚举 | 4661 | CrackMapExec TA0007-发现 | T1201-密码策略发现 | 通过命令行发现密码策略 | 1 or 4688 | TA0007-发现 | T1482-域信任发现 | 从非管理主机调用 Active Directory Forest PowerShell 类 | 800 or 4103 or 4104 | TA0008-横向移动 | T1021.001-远程桌面协议 | 使用有效凭据的 RDP 登录被拒绝 | 4825 | TA0008-横向移动 | T1021.002-SMB Windows 管理共享 | 通过 SMB 访问管理共享 (基本) | 5140 or 5145 | TA0008-横向移动 | T1021.002-SMB Windows 管理共享 | 通过 SMB 管理共享执行 Impacket WMIexec | 5145 | WMIexec TA0008-横向移动 | T1021.002-SMB Windows 管理共享 | 通过挂载网络共享进行横向移动 - net use (命令行) | 4688 and 4648 | TA0008-横向移动 | T1021.002-SMB Windows 管理共享 | 多次尝试访问网络共享失败 | 5140 or 5145 | TA0008-横向移动 | T1021.002-SMB Windows 管理共享 | 在主机上创建了新的文件共享 | 5142 | TA0008-横向移动 | T1021.002-SMB Windows 管理共享 | 通过 SMB 进行 Psexec 远程执行 | 5145 | TA0008-横向移动 | T1021.002-SMB Windows 管理共享 | 通过 SMB 远程创建服务 | 5145 | TA0008-横向移动 | T1021.002-SMB Windows 管理共享 | 通过 SMB 管理共享执行远程 shell | 5145 | TA0008-横向移动 | T1021.002-SMB Windows 管理共享 | 创建共享打印机 | 5142 | PrintNightmare (CVE-2021-1675 / CVE-2021-34527) TA0008-横向移动 | T1021.003-DCOM | DCOM 横向移动 (通过 MMC20) | 4104 | TA0008-横向移动 | T1021.003-DCOM | DCOMexec 权限滥用 | 4674 | TA0008-横向移动 | T1021.003-DCOM | 通过 MMC 进行的 DCOMexec 进程滥用 | 1 or 4688 | TA0008-横向移动 | T1021.004-远程服务：SSH | 安装 OpenSSH 原生服务器功能 | 800 or 4103 or 4104 | SSH server TA0008-横向移动 | T1021.004-远程服务：SSH | 检测到激活/配置了适用于 Windows 的 OpenSSH 服务器 | 800 or 4103 or 4104 | SSH server TA0008-横向移动 | T1021.006-Windows 远程管理 | WinRM 侦听服务侦察 | 4656 | TA0008-横向移动 | T1550.002-使用备用身份验证材料：Pass the Hash | 通过进程访问进行 LSASS 转储 | 10 | Mimikatz TA0008-横向移动 | T1550.002-使用备用身份验证材料：Pass the Hash | Pass-the-hash 登录 | 4624 | Mimikatz TA0008-横向移动 | T1563.002-RDP 劫持 | 通过滥用 TSCON 命令进行 RDP 会话劫持 | 1 or 4688 | TA0009-收集 | T1125-视频捕获 | RDP 阴影会话已启动 (注册表) | 13 | TA0011-命令与控制 | T1090-代理 | 代理配置被更改 | 5600 | TA0011-命令与控制 | T1572-协议隧道 | 启用了用于端口转发的 RDP 隧道配置 | 1 or 4688 | TA0040-影响 | T1490-抑制系统恢复 | VSS 备份删除 | 800 or 4103 or 4104 | TA0040-影响 | T1490-抑制系统恢复 | VSS 备份删除 (WMI) | 1 or 4688 | TA0040-影响 | T1490-抑制系统恢复 | Windows 原生备份删除 | 1 or 4688 | TA0040-影响 | T1565-数据操纵 | DNS hosts 文件被修改 | 11 |

标签：AD安全, ATT&CK覆盖度评估, Cloudflare, Conpot, EVTX日志, IOC指标, MITRE ATT&CK, Sigma规则, Sysmon, URL发现, Windows安全, 原子红队, 子域枚举, 安全度量, 安全检测, 日志采集, 用例开发, 目标导入, 紫队