VL
События рядом, например, 4625 от той же УЗ.
Они успешные почему-то
Size: a a a
2019 March 26
VL
А именно 4776 рамные :(
e
Вероятно, что от одного источника успешные, от другого не очень)
RS
сгруппировать по пользователю и узлу пробовали уже?
события смены пароля на этих УЗ перед появлением этого потока есть?
какая-то регулярность во временном расстоянии между последовательными 4776 по паре узел-УЗ есть?
события смены пароля на этих УЗ перед появлением этого потока есть?
какая-то регулярность во временном расстоянии между последовательными 4776 по паре узел-УЗ есть?
К
сгруппировать по пользователю и узлу пробовали уже?
события смены пароля на этих УЗ перед появлением этого потока есть?
какая-то регулярность во временном расстоянии между последовательными 4776 по паре узел-УЗ есть?
события смены пароля на этих УЗ перед появлением этого потока есть?
какая-то регулярность во временном расстоянии между последовательными 4776 по паре узел-УЗ есть?
есть подозрения, что у человека вообще не макс патрол)
VL
сгруппировать по пользователю и узлу пробовали уже?
события смены пароля на этих УЗ перед появлением этого потока есть?
какая-то регулярность во временном расстоянии между последовательными 4776 по паре узел-УЗ есть?
события смены пароля на этих УЗ перед появлением этого потока есть?
какая-то регулярность во временном расстоянии между последовательными 4776 по паре узел-УЗ есть?
Коллеги, я не пытаюсь вычислить "wtf", мне источник найти надо ;((
VL
Вероятно, что от одного источника успешные, от другого не очень)
У меня такая же гипотеза.
RS
есть подозрения, что у человека вообще не макс патрол)
Какая разница? Нет LM/SIEM - выгружаем данные из security логов dc's в csv и занимаемся выше описанным в Excel или чем-то подобным
VL
Сием есть, группировки проводили,
VL
Смены пароля нет
VL
Регулярность 4776 по паре уз- отсутствующий хост - есть.
RS
Регулярность 4776 по паре уз- отсутствующий хост - есть.
Значит где-то сохранен кривой пароль и оно долбится
RS
На виндовой машине надо начать со стандартных хранилищ кредов
RS
Vault и браузеры
RS
Что значит "отсутствующий хост"?
RS
У вас код ошибки - кривой пароль
VL
Значит где-то сохранен кривой пароль и оно долбится
Ага. Только где - непонятно
VL
У вас код ошибки - кривой пароль
Сорса, где пароль кривой - нет ;) не указано (пустой он).
RS
ну дальше тогда ntlm audit включать и логирование netlogon
но это всё аккуратно на DC делать надо :(
но это всё аккуратно на DC делать надо :(
VL
ну дальше тогда ntlm audit включать и логирование netlogon
но это всё аккуратно на DC делать надо :(
но это всё аккуратно на DC делать надо :(
А почему аккуратно?