[SharpADUserIP] Немного о классном инструменте для разведки внутри домена и анализа логов Active Directory. Что это такое SharpADUserIP — open‑source инструмент на C#, его исходники можно найти на GitHub. Основная задача — извлечь из журналов событий безопасности (Security log) на контроллерах домена (DC) информацию о логинах пользователей и связать их с IP-адресами и хостами. Как это работает Инструмент анализирует события 4624 (успешные логины) из журнала Security на DC. Это ключевое, поскольку именно это событие содержит данные о том, откуда и какой пользователь вошёл. После анализа SharpADUserIP строит связи «пользователь → IP / хост», что даёт картину, на каких машинах и с каких адресов реально логинились доменные учётки. Всё на C#, так что можно запустить на машинах, где установлен .NET, нет необходимости тянуть сложные экосистемы. Ограничения Инструмент работает только с DC-логами — если у тебя нет доступа к Security.evtx на контроллерах домена, пользы будет мало. Когда особенно полезен Пентест / Red Team: после доменного взлома, чтобы быстро разведать, где подключаются доменные учётки, и с каких хостов. Blue Team / IR (Incident Response): при расследовании подозрительных логинов — можно быстро выделить, с каких IP осуществляется активность учеток. ✔️ сделать карту после инцидента, чтобы понять, какие машины могли быть затронуты или использованы в качестве точки входа для латерал-мувмента.