dajjboom
commented
5 years ago 这也检测?做个人吧
Open wcc526 opened 5 years ago
dajjboom
commented
5 years ago 这也检测?做个人吧
Qianlitp
commented
5 years ago net user /domain 会触发4661事件日志,显示某用户访问了当前域对象,但这并不能和“获取所有域用户列表“这个操作进行对应。因为你即使查询某一个域用户的详细信息,也会伴随访问域对象。所以不能很好区分实际的操作。
对于常见的域查询操作,目前只有指定了明确的实体时,才能在日志中有区分。 修改操作一般会触发敏感行为告警。 远程访问一般会触发5140和5145事件,共享名称会暴露攻击者的远程登录手法。
具体你可以本地复现尝试,你如果有新的发现欢迎提交PR。
0x783kb
commented
5 years ago 4661是可以记录,可以根据进程信息、对象类型、对象名称来检测,但是不同的命令产生的对象类型不同。有兴趣的话,你可以测试一下。如果执行此命令的主机是windows server 2012以上操作系统,操作系统可以对此类命令进行记录。你也可以检测此类命令
https://zhuanlan.zhihu.com/p/26781760
net user /domain //获得所有域用户列表