Использование Incident Action
После настройки поискового задания пользователь может настроить Incident Action
. В статье рассмотрен пример создания инцидента с использованием компонента Планировщик заданий
. Информация по заполняемым параметрам приведена в статье.
Первым шагом заполняются имя и описание поискового задания:
- Имя -
RULE - CS - Sysmon - SystemTimeDiscovery
- Описание - Злоумышленник может получить информацию о системном времени и/или часовом поясе локальной или удаленной системы