После компрометации пользовательской учетной записи атакующий получает плацдарм для атаки на домен Active Directory. Одна из первоочередных задач злоумышленника на этом этапе — сбор информации об объектах домена для последующего повышения привилегий. Несмотря на большое разнообразие инструментов для сбора такой информации, все они используют протокол LDAP для доступа к каталогу Active Directory и механизм RPC для взаимодействия с другими Windows‑хостами.

В докладе описываются существующие способы сбора LDAP- и RPC‑телеметрии, а также приводятся методы детектирования аномальной и злонамеренной активности на основе собираемых событий. Предложенный подход позволяет своевременно детектировать не только использование популярных хакерских инструментов, но и ряд атак, которые затруднительно обнаружить при использовании других источников телеметрии.