Название активного листа

Описание

[OOTB][AD] End-users tech support accounts

Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Successful authentication with same user account on multiple hosts. В активный список могут быть добавлены учётные записи сотрудников технической поддержки. Записи не удаляются из активного списка.

[OOTB][AD] List of requested TGT. EventID 4768

Активный список наполняется правилом [OOTB][AD][Technical] 4768. TGT Requested, также этот активный список используется в селекторе правила [OOTB][AD] Granted TGS without TGT (Golden Ticket). Записи удаляются из списка через 10 часов после внесения.

[OOTB][AD] List of sensitive groups

Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Membership of sensitive group was modified. В активный список могут быть добавлены критичные доменные группы, членство в которых необходимо отслеживать. Записи не удаляются из активного списка.

[OOTB][Linux] CompromisedHosts

Активный список наполняется правилом [OOTB] Successful Bruteforce потенциально скомпрометированными хостами под управлением ОС Linux. Записи удаляются из списка через 24 часа после внесения.