خیلی وقتا توی سازمان ها لاگین های ناموفق زیادی وجود داره که با استفاده از دشبوردهای تهیه شده روی SIEM میشه faild login هارو مشاهده کرد.
اما موضوع اینجاست که دلیل Faild login ها چیه؟
به فرض اینکه ما تمام عواملی که باعث ایجاد لاگین ناموفق بوده را چک کردیم و به نتیجه ای نرسیدیم و همچنان تعداد زیادی لاگین ناموفق داریم. میخوام توی این پست یک راهی برای پیدا کردن Process که faild login میندازه معرفی کنم.
ما برای شناسایی دلیل لاگین ناموفق نیاز به دسترسی روی خود سرور و ابزار Process Monitor داریم.
ابزار Process Monitor یکی از Tools های Sysinternals مایکروسافت برای مانیتور کردن تمامی فعالیت های پروسس های مختلف شامل Network Activity، File Activity ، Thread، رجیستری و .. می باشد.
با استفاده از فیلتر های این ابزار می توانیم بر روی پروسس ها بر اساس نیاز فیلتر انجام دهیم. که ما برای شناسایی لاگین های ناموفق باید فیلد Result رو برابر با LOGON FAILURE قرار دهیم.
