0. Перш за все – зібрати логи за допомогою hayabusa з усіх контролерів домену та робочих станцій (Важливо це зробити відразу, щоб не насмітити в логи іншими інструментами) – команда:
1 |
hayabusa-2.12.0-win-x64.exe csv-timeline --live-analysis -o %computername%.csv -w |
1. Зібрати для доменів звіт PingCastle
2. Включити PowerShell Logging
3. Включити поглиблений аудит
4. Перевірити можливість оновлення операційних систем (та оновити ОС)