Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
•
•
•
–
•
•
–
•
–
•
•
–
•
•
–
–
–
•
•
•
•
•
•
•
•
•
•
Próba ataku Brute-force
• Wiele prób nieudanych logowań
zakończonych udanym logowaniem
Podejrzany dostęp
• Logowanie użytkownika poza
standardowymi godzinami pracy
Nietypowy dostęp do systemu
• Logowanie użytkownika z nietypowej
stacji roboczej
• Uwierzytelniony użytkownik łączący
się z serwerem, z którym nigdy się
nie łączył
Próba rozszerzenia dostępu
• Wiele prób logowań do różnych
serwerów
Potencjalny malware
• Próby logowań różnych
użytkowników z tego samego
serwera
Logon Activity
Podniesienie uprawnień
• Próba/udana zmiana w członkostwie
w grupach uprzywilejowanych
Nietypowa aktywność AD
• Duża liczba nieudanych zmian AD
Próba rozszerzenia dostępu
• Podejrzane tworzenie kont
użytkowników
• Próba dodania użytkowników do grup
uprzywilejowanych
Wykorzystanie skryptów
• Duża liczba zmian/prób zmian w
grupach
• Wysoka liczba dostępów do plików,
przeniesień lub usunięć
Active Directory
„Węszący” użytkownik
• Użytkownik próbujący sięgać do
plików poza zakresem swoich
obowiązków
Ekstrakcja danych
• Dostęp do dużej liczby plików w
krótkim okresie czasu
Destrukcja danych
• Nagły, znaczący wzrost liczby
skasowanych plików
Potencjalny malware
• Duża liczba zmian nazw plików
File Activity
•
•