那么攻击者，他也会说是想想上来去进行查看一些相关的信息，或者说更有助于它进行横向攻击渗透的一些信息收集的内容。好，那么他就有可能会登录对不对？那么登录我们再去排查到事件日志的时候，去查看了44624和4625的时候，我们发现在2:11:08的时候，有个4624的一个事件，这个事件是代表审核成功的登录事件。

好，在这个事件上面我们可以看到这个是谁登的？10.0.10这是谁？这是域控1。域控1登录的那么也就是说在5月19号2点11分08秒的时候，域控2遭受一个内对内的一个攻击事件，是域控1对域控2的一个登录。那像这种事情，如果是拿着正常的这种账号密码来进行登录，我们的安全设备是不一定会告警，他只是会说报一个敏感行为，但是我们通过这个事件，事件传感器是看到了另外一个就是我们还是对这个4624的这个事件去进行一个查看，看到什么？

在2:42:12的时候，人事PC对域控2进行了直接登录，人事PC对域控二进行了直接登录，我们来看这张图，域控1登录域控2，上来之后进行一些操作之后，可能会感觉到比较敏感，对不对？那怎么办？他可能会换一台电脑来进行登，是这样子。好那去登录的时候，它会有些什么样的信息，这个可以看到友好信息或者详细信息里面，他都会展示一些关于谁和谁登录，使用哪些信息，使用什么方式登录，会留下这些信息的，。在这里我们就查看到 pyramid one，这个是test test，这是什么？这是域控账号，然后是谁登的？是10.10.0.7810.1，0.0.78是人事PC，所以说，我们又得到了另外一个结果，那么也就是在2:42:12的时候，人事PC对用户2发起来的内对内的攻击，也就是人事PC登录了域控2这么一通。至于怎么去查看的话，这个就不用多说了吧。

这个就可以去查看。好，那么接下来，我们就是正常的排查完以后的话，我们就会对现阶段的一个工具路径进行一个还原总结。总结我给你看一下。最开始给你们看的那一个它是特别详细的。好，那这个就是我们当前事件的一个攻击路径的一个总结。再往后接下来要干啥？接下来我们还要去对什么？又产生告警了对不对？产生告警的是哪一台电脑是1.50，所以说接下来我们就对1.50进行一个上机排查和分析。