Оцените эту статью

Продолжение статьи

Иногда интенсивность действий с какой-нибудь учетной записью настолько велика, что их определенно не может выполнять пользователь в интерактивном режиме. Поэтому вероятно, что с учетными данными пользователя работает программа или сценарий, возможно с целью внести разрушительные изменения в AD или ценные данные в файлах (экран 5). Грамотно спроектированные программа или сценарий могут завладеть учетной записью пользователя и работать медленнее, чтобы не вызвать предупреждения в результате простого превышения порога. Но даже эта тактика не позволит обойти Change Auditor Threat Detection. Данное решение постоянно сравнивает текущее поведение пользователя с индивидуальным базовым шаблоном, и ненормальное число попыток доступа или внесения изменений будет сразу отмечено как вероятная атака.

К индикаторам такой активности относится чрезмерное число успешных или неудачных попыток:

  • изменить пользователей или группы в Active Directory;
  • выполнить доступ, переместить или удалить файлы;
  • проверить подлинность учетных данных пользователей;
  • выполнить доступ к различным компьютерам и серверам.