Детектирование бокового перемещения Windows: правила корреляции для SOC-аналитика

Статус
Закрыто для дальнейших ответов.
А

Александр Панкратов

Administrator
Команда форума
Разорванное железное звено цепи на чёрном антистатическом коврике, из разлома высыпаются миниатюрные звенья с гравировкой серверных имён. Красное свечение в точке разрыва, криминалистическая атмосф...



🕵️ Учётка svc_backup тихо ходила по 12 серверам 36 часов — Event ID 4624 Type 3 в логах, тишина в алертах. NTDS.dit скопирован, три файловых сервера зашифрованы. Не хватило одного: корреляции.

SMB lateral movement (T1021.002) оставляет...

Детектирование бокового перемещения Windows: правила корреляции для SOC-аналитика

Источник: codeby.net
 
Статус
Закрыто для дальнейших ответов.
Назад
Верх