Сервисная учётка SCCM три ночи подряд генерировала Type 3 logon на 17 хостах. CrowdStrike Falcon молчал. Антивирус — тоже. Ни одного подозрительного файла. Время обнаружения — 3:17 ночи, аналитик L2, несовпадение source workstation в Event ID 4776.75% вторжений...
Детектирование lateral movement через доверенные учётки: обнаружение горизонтального перемещения без вредоносного кода
Источник: codeby.net