Оцените эту статью

Продолжение стать

Взломщики часто проникают в корпоративную сеть через обычные учетные записи пользователей, которые, как правило, проще скомпрометировать, чем административные, а затем повышают уровень привилегий этих учетных записей, чтобы получить доступ к интересующим их данным или системам. Аналогично недобросовестные сотрудники часто пытаются повысить свои права или получить нужные права доступа скрытым образом, создавая новую учетную запись и добавляя ее во вложенную привилегированную группу. Всегда необходимо внимательно отслеживать добавление пользователя в привилегированную группу, но большинство таких событий законные. Change Auditor Threat Detection выделяет действительно подозрительные события, сопоставляя добавление в привилегированную группу с соответствующей подозрительной активностью. Например, если непосредственно перед тем, как пользователь создал учетную запись и добавил ее в привилегированную группу, был выполнен вход из необычного места после нескольких подряд ошибок при проверке подлинности, то вы получите предупреждение вверху списка
и сможете быстро начать расследование.

Основные индикаторы повышения привилегий:

  • пользователь добавляется в критическую встроенную привилегированную группу, напрямую или через членство во вложенной группе;
  • пользователю напрямую назначаются повышенные разрешения