TryHackMe Мониторинг Active Directory | Полное пошаговое руководство 2026

Описание: 🍎 Научитесь отслеживать Active Directory и находить аномалии в журналах большого объема.

🐓 🐧Ссылка на комнату: https://tryhackme.com/room/monitoring...

🍐 Цели обучения 🍐

К концу этой сессии мы сможем:

🦮 Определять протоколы, генерирующие трафик AD, и различать аутентификацию доменных и локальных пользователей

🦮 Интерпретировать основные идентификаторы событий AD в контексте аутентификации, жизненного цикла учетных записей, групп и служб каталогов

🦮 Устанавливать базовые шаблоны активности и выявлять аномалии с помощью подсчета стеков

🦮 Настраивать политики аудита для регистрации критически важных событий AD

🦮 Запрашивать журналы AD в Splunk для исследования активности пользователей

[Временные метки]

[00:00:00] Задание 1: Введение
[00:02:39] Задание 2: Трафик и ведение журналов AD
[00:14:20] Задание 3: События аутентификации
[00:14:20] Задание 4: Учетные записи, группы и события доступа к ресурсам
[00:21:40] Задание 5: Понимание базовой активности
[00:29:20] Задание 6: Настройка политики аудита
[00:31:06] Задание 7: Сценарий: Аудит адаптации нового сотрудника
[00:37:18] Задание 8: Заключение

🍐 Задания в комнате: 🍐

🥑 Задание 1: Введение
🪼 Задание 2: Трафик и журналирование AD
🔐 Задание 3: События аутентификации
В каком файле хранятся учетные данные пользователей домена на контроллере домена?

Локальный пользователь проходит аутентификацию на рабочей станции. Будет ли это генерировать какие-либо события на контроллере домена? (Формат ответа: Да или Нет)

Какой идентификатор события генерируется, когда пользователь запрашивает TGT?

Сколько уникальных учетных записей в наборе данных за все время запрашивали TGT в индексе Win в Splunk? 🥉 Задание 4: Учетные записи, группы и события доступа к ресурсам

Какое поле в Splunk содержит имя группы?

Какой тип входа в систему в Splunk является НАИБОЛЕЕ распространенным в наборе данных?

🐅 Задание 5: Понимание базовой активности
Какой суффикс символов идентифицирует учетные записи компьютеров в Active Directory?

Какая служба в Splunk является НАИБОЛЕЕ часто запрашиваемой в наборе данных?

🧀 Задание 6: Настройка политики аудита

Какая команда отображает все текущие параметры политики аудита на контроллере домена?

🐈 Задание 7: Сценарий: Аудит адаптации нового сотрудника

Как называется вновь созданная учетная запись?

Кто создал эту учетную запись?

В какую группу был добавлен этот пользователь?

Какой был исходный IP-адрес первого запроса TGT от nathan.brooks?

🐍 Задание 8: Заключение

⚠️ Только для образовательных целей
Этот контент предназначен только для образовательных целей и авторизованного тестирования на проникновение. Всегда проверяйте наличие разрешения перед тестированием на любых системах.

Не забудьте поставить 👍 ЛАЙК и 🔔 ПОДПИСАТЬСЯ, чтобы получать больше уроков по кибербезопасности!

#tryhackme