Un nombre conséquent de requêtes d'authentification sur de multiples machines, en utilisant les protocoles NTLM ou Kerberos et provenant de la même source, peut être une indication d'une attaque, probablement avec BloodHound/SharpHound.

ID : <a rel="noopener noreferrer" href="https://attack.mitre.org/techniques/T1069/" target="_blank">T1069</a> Sous-technique de : <a rel="noopener noreferrer" href="https://attack.mitre.org/techniques/T1069/" target="_blank">T1069</a> Tactique : <a rel="noopener noreferrer" href="https://attack.mitre.org/tactics/TA0007/" target="_blank">TA0007</a>

Détections

Reconnaissance massive d'ordinateurs

low

Description

Voir aussi

Détails de l'indicateur