Продолжение стать
Взломщики часто проникают в корпоративную сеть через обычные учетные записи пользователей, которые, как правило, проще скомпрометировать, чем административные, а затем повышают уровень привилегий этих учетных записей, чтобы получить доступ к интересующим их данным или системам. Аналогично недобросовестные сотрудники часто пытаются повысить свои права или получить нужные права доступа скрытым образом, создавая новую учетную запись и добавляя ее во вложенную привилегированную группу. Всегда необходимо внимательно отслеживать добавление пользователя в привилегированную группу, но большинство таких событий законные. Change Auditor Threat Detection выделяет действительно подозрительные события, сопоставляя добавление в привилегированную группу с соответствующей подозрительной активностью. Например, если непосредственно перед тем, как пользователь создал учетную запись и добавил ее в привилегированную группу, был выполнен вход из необычного места после нескольких подряд ошибок при проверке подлинности, то вы получите предупреждение вверху списка
и сможете быстро начать расследование.
Основные индикаторы повышения привилегий:
- пользователь добавляется в критическую встроенную привилегированную группу, напрямую или через членство во вложенной группе;
- пользователю напрямую назначаются повышенные разрешения