Mi riferisco al link per lavorare per rilevare il rilevamento del movimento laterale di Windows. Esiste una regola relativa alla regola di correlazione: accesso automatico automatizzato di Windows. Dichiara che il conteggio delle soglie dovrebbe essere maggiore di 9. E 'obbligatorio? Anche una sola voce di accesso automatizzata non fa preoccupare?
Penso che tu abbia ragione, ti piacerebbe loggarne qualcuna tutto il tempo. 7045 sembra saltarmi addosso. In confronto, questa è la regola splunk:
index=windows LogName=System EventCode=7045 NOT
(Service_Name=tenable_mw_scan) | eval
Message=split(Message,".") | eval
Short_Message=mvindex(Message,0)
| table _Ome host Service_Name, Service_Type, Service_Start_Type,
Service_Account, Short_Message
riferimento: link
Leggi altre domande sui tag windows account-security