如何解决使用splunk查找暴力攻击
我遇到了几次登录失败,然后管理员成功了,这是我所拥有的,但似乎没有得到任何结果:
source=WinEventLog:Security EventCode=4625 OR EventCode=4624
| bin _time span=5m as minute
| eval username=mvindex(Account_Name,1)
| stats count(Keywords) as Attempts,count(eval(match(Keywords,"Audit Failure"))) as Failed,"Audit Success"))) as Success by minute username
| where Failed>=2
| stats dc(username) as Total by minute
| where Total>3
有什么更好的方法来找到用户的失败登录尝试然后成功登录的想法吗?
解决方法
Splunk Security Essentials应用程序具有一个示例“蛮力尝试检测”查询。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。