Comments 2
Хорошая статья. Я бы только добавил, что по-хорошему надо бы события соотносить к матрице MITRE с учетом особенностей Вашей инфраструктуры. Я боюсь, что если RDP в организации основной способ администрирования, то у Вас будет много шума и мало толку. Грамотный атакующий всегда будет маскировать себя под Ваш обычный траффик. Но тема очень важная.
Sign up to leave a comment.
Работа с событиями аудита Windows – сбор, анализ, реагирование