确定每次登录失败尝试的根源和原因,并找到登录失败百分比最高的用户帐户。
识别可疑的用户活动,例如异常大量的事件和在异常时间执行的文件活动。
审核特权使用情况,并报表关键事件,例如密码重置,用户管理和特权升级。
检测横向移动的指示符,例如异常的远程桌面活动,新进程的执行等。
通过详细的文件完整性监控报表,跟踪文件删除,未经授权的文件更改以及文件访问异常激增。
检测插入域控制器,服务器或工作站的USB设备,并在将文件复制到它们时收到告警。
方案:恶意管理员重置关键用户的密码,并使用这些凭据访问和泄露机密数据。第二天,关键用户由于其过时的凭据而被锁定,并向管理员请求新密码。
使用ADAudit Plus,可以 通过调查关键事件来跟踪内部攻击源,例如由流氓管理员进行的密码重置,关键用户帐户中异常的远程桌面活动,帐户锁定事件的详细信息等。
场景:管理员意外地向员工授予过多特权,该员工继续使用这些特权泄露敏感数据。
使用ADAudit Plus,可以 关联有关特权升级的报表,用户首次执行特权操作以及将文件复制操作复制到USB设备以快速识别和纠正错误。
场景:研究人员无意中发现了可疑网站,该网站在网络中安装并执行了恶意可执行文件(例如勒索软件)。
使用ADAudit Plus, 当此异常进程在主机上运行时触发告警。如果可执行文件启动了勒索软件攻击,则ADAudit Plus可以立即检测到它并关闭受感染的计算机,以防止其进一步传播。
