Amenazas que implican un comportamiento de aplicación, dispositivo o red inusual, sospechoso o anómalo.

Algunos ejemplos son aplicaciones que introducen archivos ejecutables o una elevación de privilegios.

Amenazas que implican el intento de usar credenciales comprometidas de forma malintencionada.

Algunos ejemplos son la lectura de credenciales desde un proceso de seguridad y la ejecución de una aplicación mediante credenciales del sistema.

Amenazas que implican el uso de un dispositivo u otro componente de endpoint con intenciones malintencionadas.

Un ejemplo es una aplicación no autorizada que accede a un micrófono o a una cámara.

Amenazas que implican un intento de realizar una transferencia de datos no autorizada.

Esta transferencia puede realizarse de forma manual y la puede llevar a cabo una persona que tenga acceso físico a un equipo. También puede automatizarse y realizarse a través de una programación malintencionada a través de una red.

Amenazas que implican aprovechar un error o una vulnerabilidad en una aplicación o un sistema, lo que provoca un comportamiento imprevisto de esa aplicación o sistema.

Algunos ejemplos son las inserciones de código y los habilitadores de raíz.

Amenazas que incluyen software malintencionado, diseñadas a propósito para dañar un endpoint, un dispositivo o una red.

Algunos ejemplos son ransomware, registrador de pulsaciones de teclas y spyware.

Amenazas que implican un método o proceso que se utiliza para intentar poner en peligro la seguridad de la red.

Algunos ejemplos son ataques de tipo “Man in the middle”, “Port scan” y protocolos de red inusuales.

Las amenazas que implican un dispositivo o un endpoint que infringen la política de la empresa.

Algunos ejemplos son la instalación de una aplicación de la lista negra y el uso de un dispositivo alterado (jailbreak) o con acceso root.