Как Event ID 4648 может помочь в обнаружении потенциальных угроз безопасности?

Event ID 4648 («Попытка входа с явными учётными данными») может помочь в обнаружении потенциальных угроз безопасности, так как позволяет отслеживать различные ситуации, связанные с доступом к учётным данным: www.manageengine.com www.ultimatewindowssecurity.com

• Использование учётных данных важных пользователей. www.manageengine.com learn.microsoft.com Например, администраторов баз данных, встроенных локальных администраторов, администраторов доменов и других. learn.microsoft.com
• Аномалии и вредоносные действия. www.manageengine.com learn.microsoft.com Например, использование учётной записи вне рабочего времени. learn.microsoft.com
• Использование неактивных, внешних и ограниченных учётных данных. www.manageengine.com
• Выполнение определённых действий только учётными данными из белого списка. www.manageengine.com

Event ID 4648 обычно генерируется в конфигурациях пакетного типа, таких как запланированные задачи, или при использовании команды RUNAS. learn.microsoft.com www.get-itsolutions.com

Для мониторинга событий безопасности, в том числе связанных с Event ID 4648, можно использовать специальные инструменты, например XpoLog. www.xplg.com