rdp-kim 05:25
KIM의 security 이벤트로그에서 logon type이 10인 로그 확인. 공격자의 remote 로그온 증거
RemoteDesktopServices 이벤트 로그에서 같은 시간대에 RDP 접속 확인 가능
재시작 5:40
Logoff 시간
Event ID : 4647
랜섬웨어 배포정책넣음 06:07
AD Application 이벤트 로그에서 랜섬웨어 정책을 배포한 것을 확인
rdp-kim접속 06:42
