Возможны варианты:
1) Создать единое правило на локальную разведку групп на хосте
2) Разделить на два правила (убрав обработку события 4799 из первого правила)
Нужно понять хотим ли ограничивать корреляцию конкретными утилитами или будем отслеживать все запросы.
Существует ли уже issue или обсуждение этого дубликата?
Тип контента
Корреляция
Описание дубликата
Дублирование обработки события 4799 в правилах Enumeration_Users_In_Groups и Local_Groups_Enumeration_Discovery.
Предложение
Возможны варианты: 1) Создать единое правило на локальную разведку групп на хосте 2) Разделить на два правила (убрав обработку события 4799 из первого правила)
Дополнительные сведения и сслыки
No response