[ДУБЛИКАТ] Дублирование логики в правилах на разведку локальных групп #347
Description
Существует ли уже issue или обсуждение этого дубликата?
- Подтверждаю, что выявленный недостаток ещё не был описан
Тип контента
Корреляция
Описание дубликата
Дублирование обработки события 4799 в правилах Enumeration_Users_In_Groups и Local_Groups_Enumeration_Discovery.
Предложение
Возможны варианты:
- Создать единое правило на локальную разведку групп на хосте
- Разделить на два правила (убрав обработку события 4799 из первого правила)
Нужно понять хотим ли ограничивать корреляцию конкретными утилитами или будем отслеживать все запросы.
Дополнительные сведения и сслыки
No response