Работа с событиями аудита Windows – сбор, анализ, реагирование

[disakov]

Хорошая статья. Я бы только добавил, что по-хорошему надо бы события соотносить к матрице MITRE с учетом особенностей Вашей инфраструктуры. Я боюсь, что если RDP в организации основной способ администрирования, то у Вас будет много шума и мало толку. Грамотный атакующий всегда будет маскировать себя под Ваш обычный траффик. Но тема очень важная.

[RRakhmetov]

Спасибо за обратную связь!