Detect NTLMv1 Authentications
This query detects NTLM v1 authentications using Falcon ITP telemetry.
Identityhunting
FDR intermediatepor ByteRay GmbH (cql-hub.com) 1 min read
Query
#event.dataset="falcon.identity"
| network.protocol="ntlm_v1"
| groupBy([SourceAccountUserName, host.hostname, TargetServerHostName])Explicación
Importado desde cql-hub.com. Agrega explicación de pipes aquí.
Variables a ajustar
Revisa y ajusta los valores según tu entorno.