FreeIPA: как обнаружить атаку злоумышленника на любом этапе Кill Сhain. Часть 2

Привет, Хабр! Это Ильназ Гатауллин, технический руководитель RED Security SOC и Сергей Орляк, руководитель третьей линии RED Security SOC. В прошлой части мы разобрали целый ряд атак на FreeIPA: показали их механику, показали правила корреляции, которые можно использовать для самостоятельного выявления таких инцидентов, и поделились советами по расследованию. В этой части мы посмотрим на весь Kill Chain атак на FreeIPA и покажем, как приведенные правила позволят выявлять злоумышленника на любом из этапов.

Читать далее