Добрый день!
Собираю данные через SIEM, из журналов безопасности, со всех домен контроллеров.
При авторизации пользователей в ОС на локальных машинах, подключенных к домену, в журналах безопасности домен контроллеров появляется запись об авторизации, но при любой авторизации указывается тип входа 3 (Network logon—This logon occurs when you access remote file shares or printers).
В результате чего, невозможно определить был ли это вход на компьютер интерактивно, либо подключение к сетевому ресурсу.
Буду рад любой информации по данному вопросу.
Заранее благодарю!
AD на базе Win Ser 2008
Собираю данные через SIEM, из журналов безопасности, со всех домен контроллеров.
При авторизации пользователей в ОС на локальных машинах, подключенных к домену, в журналах безопасности домен контроллеров появляется запись об авторизации, но при любой авторизации указывается тип входа 3 (Network logon—This logon occurs when you access remote file shares or printers).
В результате чего, невозможно определить был ли это вход на компьютер интерактивно, либо подключение к сетевому ресурсу.
Буду рад любой информации по данному вопросу.
Заранее благодарю!
AD на базе Win Ser 2008
Изменено: Dan#$% - 04.11.2014 07:22:52