• 日期: 2026-01-20
  • 标签: 国际

这条规则是用来检测同一源IP地址上出现多个Windows审计失败事件的情况。根据不同的规范,如PCI DSS、GDPR、HIPAA等,这种情况可能会被视为安全风险。

处置建议包括:

  • 确认是否存在真正的安全威胁,例如恶意攻击或账户被盗用。
  • 如果存在安全威胁,立即采取措施进行应急响应和修复。
  • 如果没有安全威胁,则可能需要调查原因,例如系统配置或用户错误,并采取相应的纠正措施。
  • 对于符合规范要求的组织,可能需要记录和报告此类事件。
rule id=18153 level=10 frequency=$MS_FREQ timeframe=240 if_matched_sid18105if_matched_sid same_source_ip descriptionMultiple Windows audit failure eventsdescription grouppci_dss_1061gdpr_

原文地址: https://www.cveoy.top/t/topic/ci8t 著作权归作者所有。请勿转载和采集!

免费AI点我,无需注册和登录