Комментарии 4
А блокировки после прописанного в системе количества неуспешных попыток авторизации при использовании WMI не наступает как при обычной авторизации?
И защититься можно только анализом дополнительными инструментами?
Есть какие-то продукты на рынке которые агрегируют события из журнала Security с разных машин и подсвечивают "опасные события" ?
SIEM- системы, если говорить о корреляции и агрегации событий вообще, в систему поступают события, она при помощи настроенных правил корреляции уже решает генерировать инцидент, или же нет. Также, если рассматривать аномалии поведения, то можно отслеживать их при помощи таких систем, как UBA/UEBA - то есть систем поведенческого анализа пользователей и сущностей, они собирают и анализируют данные из различных источников, и на этой основе с помощью machine learning и статистики генерируют шаблоны нормального поведения, а отклонения от "нормальности" - будут аномалиями.
Детектируем горизонтальное перемещение с WMIExec