Продолжение статьи
Иногда интенсивность действий с какой-нибудь учетной записью настолько велика, что их определенно не может выполнять пользователь в интерактивном режиме. Поэтому вероятно, что с учетными данными пользователя работает программа или сценарий, возможно с целью внести разрушительные изменения в AD или ценные данные в файлах (экран 5). 
Грамотно спроектированные программа или сценарий могут завладеть учетной записью пользователя и работать медленнее, чтобы не вызвать предупреждения в результате простого превышения порога. Но даже эта тактика не позволит обойти Change Auditor Threat Detection. Данное решение постоянно сравнивает текущее поведение пользователя с индивидуальным базовым шаблоном, и ненормальное число попыток доступа или внесения изменений будет сразу отмечено как вероятная атака.
К индикаторам такой активности относится чрезмерное число успешных или неудачных попыток:
- изменить пользователей или группы в Active Directory;
- выполнить доступ, переместить или удалить файлы;
- проверить подлинность учетных данных пользователей;
- выполнить доступ к различным компьютерам и серверам.