Sherlock Scenario 我们的SIEM提醒我们注意一个需要立即查看的可疑登录事件。警报详细信息是IP地址和源工作站名称不匹配。您将收到事件时间范围内周围时间的网络捕获和事件日志。对给定的证据进行核化，并向SOC经理报告。 NTLM Relay Attack 这是Hackthebox的官方链接：NTLM 中继攻击检测 (hackthebo…

Sherlock Scenario 在这个非常简单的 Sherlock 中，您将熟悉 Unix auth.log 和 wtmp 日志。我们将探索一个场景，其中 Confluence 服务器通过其 SSH 服务被暴力破解。获得对服务器的访问权限后，攻击者执行了其他活动，我们可以使用 auth.log 进行跟踪。尽管 auth.log 主要用于暴力分析…