SIEM- системы, если говорить о корреляции и агрегации событий вообще, в систему поступают события, она при помощи настроенных правил корреляции уже решает генерировать инцидент, или же нет. Также, если рассматривать аномалии поведения, то можно отслеживать их при помощи таких систем, как UBA/UEBA - то есть систем поведенческого анализа пользователей и сущностей, они собирают и анализируют данные из различных источников, и на этой основе с помощью machine learning и статистики генерируют шаблоны нормального поведения, а отклонения от "нормальности" - будут аномалиями.
Блокировка уз может наступить вследствие подбора пароля при запуске wmiexec, так как нет разницы через что запрашивается аутентификация, а точное обнаружение использования wmi/wmiexec в злонамеренных целях может обеспечить мониторинг трафика
Данным методом пользуются все члены домена для периодической смены пароля своих компьютерных уз, и вызвать его могут только те машины, которые уже установили безопасный канал с сервером.
В реальности, запрос на смену пароля компьютерной уз DC НЕ от другого DC - это уже «нестандартное» поведение.
SIEM- системы, если говорить о корреляции и агрегации событий вообще, в систему поступают события, она при помощи настроенных правил корреляции уже решает генерировать инцидент, или же нет. Также, если рассматривать аномалии поведения, то можно отслеживать их при помощи таких систем, как UBA/UEBA - то есть систем поведенческого анализа пользователей и сущностей, они собирают и анализируют данные из различных источников, и на этой основе с помощью machine learning и статистики генерируют шаблоны нормального поведения, а отклонения от "нормальности" - будут аномалиями.
Блокировка уз может наступить вследствие подбора пароля при запуске wmiexec, так как нет разницы через что запрашивается аутентификация, а точное обнаружение использования wmi/wmiexec в злонамеренных целях может обеспечить мониторинг трафика
Добрый день! Спасибо большое!
Данным методом пользуются все члены домена для периодической смены пароля своих компьютерных уз, и вызвать его могут только те машины, которые уже установили безопасный канал с сервером.
В реальности, запрос на смену пароля компьютерной уз DC НЕ от другого DC - это уже «нестандартное» поведение.
Cпасибо, что обратили внимание! Все верно, опечатались)