Regola di accesso esplicito automatizzato di Windows per rilevare i movimenti laterali

0

Mi riferisco al link per lavorare per rilevare il rilevamento del movimento laterale di Windows. Esiste una regola relativa alla regola di correlazione: accesso automatico automatizzato di Windows. Dichiara che il conteggio delle soglie dovrebbe essere maggiore di 9. E 'obbligatorio? Anche una sola voce di accesso automatizzata non fa preoccupare?

    
posta kruparulz14 14.03.2017 - 23:39
fonte

1 risposta

0

Penso che tu abbia ragione, ti piacerebbe loggarne qualcuna tutto il tempo. 7045 sembra saltarmi addosso. In confronto, questa è la regola splunk:

index=windows   LogName=System  EventCode=7045  NOT 
(Service_Name=tenable_mw_scan)  |   eval
Message=split(Message,".")  |   eval
Short_Message=mvindex(Message,0)        
|   table   _Ome    host    Service_Name,   Service_Type,   Service_Start_Type, 
Service_Account,    Short_Message

riferimento: link

    
risposta data 15.03.2017 - 08:30
fonte

Leggi altre domande sui tag