sea-team Nov 1 2023 at 11:28

Детектируем горизонтальное перемещение с WMIExec

Medium

10 min

3.5K

R-Vision corporate blogInformation Security*IT Infrastructure*Network technologies*

Analytics

Comments 4

slavius Nov 1 2023 at 12:52

А блокировки после прописанного в системе количества неуспешных попыток авторизации при использовании WMI не наступает как при обычной авторизации?
И защититься можно только анализом дополнительными инструментами?

iceflipper Nov 2 2023 at 09:41

Блокировка уз может наступить вследствие подбора пароля при запуске wmiexec, так как нет разницы через что запрашивается аутентификация, а точное обнаружение использования wmi/wmiexec в злонамеренных целях может обеспечить мониторинг трафика

mamontovss Nov 2 2023 at 14:03

Есть какие-то продукты на рынке которые агрегируют события из журнала Security с разных машин и подсвечивают "опасные события" ?

iceflipper Nov 2 2023 at 14:28

SIEM- системы, если говорить о корреляции и агрегации событий вообще, в систему поступают события, она при помощи настроенных правил корреляции уже решает генерировать инцидент, или же нет. Также, если рассматривать аномалии поведения, то можно отслеживать их при помощи таких систем, как UBA/UEBA - то есть систем поведенческого анализа пользователей и сущностей, они собирают и анализируют данные из различных источников, и на этой основе с помощью machine learning и статистики генерируют шаблоны нормального поведения, а отклонения от "нормальности" - будут аномалиями.