فهم مستوى المخاطر للمستخدم

1

نشاط حصان طروادة

Dridex، Peacomm، PeacommBanking

2

برنامج خبيث مصرفي

Bancos، Banload، Banker

3

سارقو المعلومات

Zeus/Zbot، Agent، Symmi

4

نشاط الباب الخلفي

توقيعات متنوعة مرتبطة بتقنيات MITRE ATT&CK

5

حركة مرور شبكة الروبوتات

Mirai، توقيعات متعدد C2

6

نفق DNS

الاكتشافات المتعددة لنفق DNS

7

نشاط التوجيه

التحقق المنتظم للأوامر والتحكم

8

اتصالات متعددة للنطاقات

العديد من النطاقات المهددة ثم خادم ضعيف السمعة

9

اتصالات الفدية

نشاط SMB واتصالات خارجية

10

سلوك التشفير

نشاط تشفير نظام الملفات

11

تسليم ملاحظة الفدية

وضع أو تسليم ملاحظة الفدية

12

اتصالات مجموعه التعدين

CryptInject، Cryptomineext، Groupfabric Bitcoinminer

13

استخدام الموارد

استخدام النظام غير الطبيعي للتعدين

14

نقل البيانات إلى وجهات مشبوهة

استخراج معلومات النظام، استخراج RaiDrive

15

سرقة المعرفات

نشاط سرقة المعرفات واستخراجها

16

نقل بيانات كبيرة

نقل خارجي ضخم بشكل غير طبيعي

17

استغلال CVE

CVE-2018-0101، CVE-2017-0199، CVE-2021-44228 (Log4Shell)

18

استغلال اليوم صفر

توقيعات للتهديدات الناشئة

19

حقن الأوامر

محاولات اكتشاف حقن الأوامر

20

الاستعراض الدليلي

سلوك الاستعراض المساري

21

محاولات رفع الملفات

رفع ملفات مشبوهة إلى تطبيقات الويب

22

حقن SQL

محاولات الهجوم بحقن SQLi

23

البرمجة النصية عبر المواقع وCSRF

اكتشافات XSS وCSRF

24

تصيد الاحتيال المشوه

اكتشاف تكتيكات التصيد الاحتيالي المخفية

25

تصيد المعرفات

إدخال بيانات حساسة في صفحات التصيد الاحتيالي

26

انتحال العلامة التجارية

تصيد احتيالي مرتبط بـ DHL

27

أدوات المسح الآلي

Nikto، Nessus، OpenVAS

28

استطلاعات الثغرات المستهدفة

مسح مركّز على CVE

29

تحقق الشبكة

فحص المنافذ واكتشاف الشبكة

30

الاتصال بعنوان IP/نطاق سيء معروف

الوصول إلى نطاق ذو سمعة منخفضة، TOR/وسيط

31

بريد المستخدم الإلكتروني

(السياسات - انظر أدناه)

32

مجموعة المستخدم

(السياسة - انظر أدناه)

33

مستوى الثقة بهوية المستخدم

(السياسة - انظر أدناه)

34

المنصة

(السياسة - انظر أدناه)

35

البلد

(السياسة - انظر أدناه)

36

مصدر الاتصال

(السياسة - انظر أدناه)

37

التنفيذ عن بعد عبر SMB 

PsExec, PAExec, RemCom, CSExec

38

التنفيذ عن بعد باستخدام WinRM

وينRS قشرة الأوامر، وينRM باورشيل

39

التنفيذ عن بعد باستخدام Impacket

Impacket PsExec, Impacket SMBExec, Impacket DCOMExec

40

التنفيذ عن بعد باستخدام WMI

التنفيذ باستخدام WMI عبر DCOM

41

تلاعب بالخدمات عن بعد

إنشاء الخدمة عن طريق SVCCTL، بدء الخدمة عن طريق SVCCTL، حذف الخدمة عن طريق SVCCTL

42

مهام مجدولة عن بعد

schtasks عن بعد، تنفيذ المهمة AT عبر atsvc

43

استطلاع LDAP

تفريغ الثقة في LDAP، الأشخاص، الحواسيب، المستخدمون الإداريون، استعلامات المجموعات

44

استطلاع SAMR / LSARPC

استطلاع SAMR للمسؤولين، عرض استعلام SAMR، تعداد المسؤول المحلي SAMR، LSARPC لمسؤولين بنيت

45

فحص المنافذ متعددة الخدمات

فحص خدمات FTP، SSH، RDP من عنوان IP واحد

46

نقل أدوات الاعتماد 

نقل عبر ،مركب Mimikatz SMB

47

نقل أداة هجومية عبر SMB

Netcat, Nmap, ADFind, TDSSKiller, نصوص باورشيل, نصوص باتش

48

نقل أداة نقل الملفات عبر SMB

WinSCP, FileZilla, PuTTY, MobaXterm

49

اختراق باستخدام Rclone

Rclone SSH, Rclone HTTP, تنزيل Rclone

50

اختراق وحدات التخزين السحابية

رفع API MEGA غير المتصفح، رفع خدمات السحابية الشهيرة

51

الوصول باستخدام روبوت Pastebin

الوصول إلى محتوى خام غير المتصفح في Pastebin

52

FTP إلى الوجهات المريبة

FTP إلى عنوان IP منخفض السمعة، نطاق منخفض السمعة، منفذ غير معياري

53

نفق البروتوكول 

نفق RDP عبر منافذ الويب، RDP عبر TLS على منافذ غير معيارية

54

تنزيل أدوات RMM

TeamViewer, AnyDesk, ScreenConnect, Splashtop, SimpleHelp, Atera, Zoho Assist

55

اتصال نشط RMM 

جلسة فريق TeamViewer(WAN)/استلام، سطح المكتب البعيد AnyDesk، فريق Splashtop العبور، SimpleHelp جانبي/UDP

56

نقل أداة RMM عبر SMB

نقل AnyDesk عبر SMB، نقل Splashtop عبر SMB

57

استخدام أداة CLI مريبة

curl / wget إلى مواقع منخفضة السمعة، تحميل curl / wget الثنائي

58

تنزيل مجموعة أدوات PSTools

تحميل PSTools متبوعًا psExec جماعية (15+ مضيف في 10 دقائق)