Recentemente abbiamo identificato numerosi tentativi di accesso da una macchina interna al controller di dominio della directory attiva. I tentativi sono diretti all'account dell'amministratore del dominio.
Come risposta iniziale, abbiamo verificato se ci fosse qualche malware sul computer host che stava iniziando questi tentativi, ma una scansione dal nostro AV non ha restituito alcun risultato. Subito dopo abbiamo controllato l'elenco dei programmi installati sulla macchina e tutto era come previsto per l'implementazione standard su una macchina utente. Inoltre, per verificare se esistesse o meno uno strumento automatico, ho modificato l'IP della macchina e lo ho ricollegato alla rete effettuando l'accesso al dominio e disconnettendo il dominio, mantenendolo connesso alla rete. In entrambi i casi, l'unico traffico osservato era una singola connessione IPC $ al DC Active Directory. Non ci sono stati tentativi di accesso.
Come posso rilevare cosa ha causato i tentativi di accesso multipli?