RDP - Githubissues

ManderVoronwe / soc-g3

1 stars 0 forks source link

RDP #15

Open ArthurMans opened 6 months ago

ArthurMans commented 6 months ago

index=* (EventCode=4624 OR EventCode=4672) Logon_Type=3 NOT user="*$" NOT user="ANONYMOUS LOGON"
| stats  count BY dest src_ip dest_nt_domain user EventCode 
| sort count

ArthurMans commented 6 months ago

Recherche toutes les tentatives de connexion réussies en RDP (code d'événement 4624) ou lorsqu'une personne disposant de droits de niveau administrateur s'est connectée en RDP (code d'événement 4672).