Closed AmwNLTL closed 2 months ago
@AmwNLTL @Keks1993
А раз тут речь про подозрительную форму аутентификации, может быть тогда разметить это как что-то из cred access?
Думал добавить в Cred Access - Forced Authentication, но Platforms: Windows
в описании техники меня смутило и оставил в Execution. Соглашусь, что уместно переместить в cred access
А вот эта техника не подходит? https://attack.mitre.org/techniques/T1056/002/
Не заметил, то что надо, спасибо
Правило детектирует AppleScript скрипт на вызов формы для ввода учетных данных
Resolves #386