Как использовать событие 4648 для мониторинга сетевой активности?

Событие 4648 в логе безопасности Windows возникает, когда процесс пытается войти в учётную запись с явным указанием её учётных данных. www.ultimatewindowssecurity.com www.manageengine.com

Некоторые способы использования события 4648 для мониторинга сетевой активности:

• Отслеживание использования определённых учётных записей. www.manageengine.com Можно контролировать, как и когда используется конкретная учётная запись, а также следить за действиями важных учётных записей. www.manageengine.com
• Обнаружение аномалий и вредоносных действий. www.manageengine.com
• Контроль за использованием неактивных, внешних и ограниченных учётных записей. www.manageengine.com
• Убеждение, что определённые действия выполняют только учётные записи из белого списка. www.manageengine.com

Для мониторинга событий, связанных с ID 4648, можно использовать, например, такие инструменты:

• Windows Event Viewer. www.lepide.com Позволяет просматривать события аудита входа в систему. www.lepide.com
• ADAudit Plus. www.manageengine.com Инструмент предоставляет подробные отчёты, оповещения в реальном времени и графические отображения. www.manageengine.com

Важно учитывать, что событие 4648 может генерировать ложные срабатывания. cryptogennepal.com