类似net user /domain 常见的域渗透命令能否检测到？

[wcc526]

https://zhuanlan.zhihu.com/p/26781760

net user /domain //获得所有域用户列表

[dajjboom]

这也检测？做个人吧

[Qianlitp]

net user /domain 会触发4661事件日志，显示某用户访问了当前域对象，但这并不能和“获取所有域用户列表“这个操作进行对应。因为你即使查询某一个域用户的详细信息，也会伴随访问域对象。所以不能很好区分实际的操作。

对于常见的域查询操作，目前只有指定了明确的实体时，才能在日志中有区分。
修改操作一般会触发敏感行为告警。
远程访问一般会触发5140和5145事件，共享名称会暴露攻击者的远程登录手法。

具体你可以本地复现尝试，你如果有新的发现欢迎提交PR。

[0x783kb]

4661是可以记录，可以根据进程信息、对象类型、对象名称来检测，但是不同的命令产生的对象类型不同。有兴趣的话，你可以测试一下。如果执行此命令的主机是windows server 2012以上操作系统，操作系统可以对此类命令进行记录。你也可以检测此类命令