Детектируем горизонтальное перемещение с WMIExec

[slavius]

А блокировки после прописанного в системе количества неуспешных попыток авторизации при использовании WMI не наступает как при обычной авторизации?
И защититься можно только анализом дополнительными инструментами?

[iceflipper]

Блокировка уз может наступить вследствие подбора пароля при запуске wmiexec, так как нет разницы через что запрашивается аутентификация, а точное обнаружение использования wmi/wmiexec в злонамеренных целях может обеспечить мониторинг трафика

[mamontovss]

Есть какие-то продукты на рынке которые агрегируют события из журнала Security с разных машин и подсвечивают "опасные события" ?

[iceflipper]

SIEM- системы, если говорить о корреляции и агрегации событий вообще, в систему поступают события, она при помощи настроенных правил корреляции уже решает генерировать инцидент, или же нет. Также, если рассматривать аномалии поведения, то можно отслеживать их при помощи таких систем, как UBA/UEBA - то есть систем поведенческого анализа пользователей и сущностей, они собирают и анализируют данные из различных источников, и на этой основе с помощью machine learning и статистики генерируют шаблоны нормального поведения, а отклонения от "нормальности" - будут аномалиями.