•

•

•

–

•

•

–

•

–

•

•

–

•

•

–

–

–

•

•

•

•

•

•

•

•

•

•

Próba ataku Brute-force

• Wiele prób nieudanych logowań

zakończonych udanym logowaniem

Podejrzany dostęp

• Logowanie użytkownika poza

standardowymi godzinami pracy

Nietypowy dostęp do systemu

• Logowanie użytkownika z nietypowej

stacji roboczej

• Uwierzytelniony użytkownik łączący

się z serwerem, z którym nigdy się

nie łączył

Próba rozszerzenia dostępu

• Wiele prób logowań do różnych

serwerów

Potencjalny malware

• Próby logowań różnych

użytkowników z tego samego

serwera

Logon Activity

Podniesienie uprawnień

• Próba/udana zmiana w członkostwie

w grupach uprzywilejowanych

Nietypowa aktywność AD

• Duża liczba nieudanych zmian AD

Próba rozszerzenia dostępu

• Podejrzane tworzenie kont

użytkowników

• Próba dodania użytkowników do grup

uprzywilejowanych

Wykorzystanie skryptów

• Duża liczba zmian/prób zmian w

grupach

• Wysoka liczba dostępów do plików,

przeniesień lub usunięć

Active Directory

„Węszący” użytkownik

• Użytkownik próbujący sięgać do

plików poza zakresem swoich

obowiązków

Ekstrakcja danych

• Dostęp do dużej liczby plików w

krótkim okresie czasu

Destrukcja danych

• Nagły, znaczący wzrost liczby

skasowanych plików

Potencjalny malware

• Duża liczba zmian nazw plików

File Activity

•

•

•

•

•

•

•