本文承接上一篇,简单过滤NetLogon漏洞被利用后,域控上的安全及系统日志上可能需要重点关注的事件ID,方便安全运营监控人员值班观察。仅供参考。如果有时间,会出本系列第三篇--原理分析篇(菜鸟一枚,不一定有),结合原理看域控上为何会产生这些特殊事件,会对此漏洞有更加深入的理解。
【域控日志分析篇】CVE-2020-1472-微软NetLogon权限提升-执行Exp后域控日志分析与事件ID抓取
原文:https://www.cnblogs.com/huaflwr/p/13700850.html