search

Security-Experts-Community / open-xp-rules

Открытый репозиторий с правилами на языке eXtraction and Processing (XP)
Apache License 2.0
20 stars 44 forks source link

[УЛУЧШЕНИЕ] Доработка нормализации для EventId 4742 #414

Closed driverenok closed 2 months ago

driverenok commented 2 months ago

Существует ли уже issue или обсуждение с похожим предложением?

Тип контента

Нормализация

Что хотелось бы улучшить?

Из существующей нормализции события EventId 4742 не понятно какие именно атрибуты учетной записи были изменены. Было бы не плохо добавить поле reason, в котором собрать список измененных атрибутов.

Почему Ваше предложение лучше, чем существующее решение?

Это пригодилось бы при написании детекта Zerologon, в котором важно мониторить факт изменения пароля учетной записи.

Дополнительные сведения и сслыки

No response

aw350m33d commented 2 months ago

Отличная идея! А есть возможность сделать PR c необходимыми правками?

driverenok commented 2 months ago

да, я сделаю, в reason кладем?

aw350m33d commented 2 months ago

Да, давай пока в reason. Посмотрим на получившиеся правки, а название поля поменять потом минутное дело)