Temos alguns scripts que executamos regularmente para capturar nossos CDs para bloqueios de contas. O evento de bloqueio geralmente mostra o IP de origem e o nome da fonte de autenticação com falha.
Como acompanhamento, os scripts tentam verificar o log de eventos da origem para uma tentativa de autenticação com falha. Fazer isso produz o Id do processo e geralmente o nome do processo que foi usado para autenticar.
Você diz que sabe de qual host as solicitações com falha estão sendo enviadas, portanto, você deve poder filtrar o log de eventos de segurança para eventos de "Falha de auditoria". Ver eventos que ocorrem a cada minuto pode levá-lo mais rapidamente a um evento que lhe dará o que você está procurando.
O problema é que às vezes é um processo genérico (por exemplo, svchost.exe). É aqui que o ID do processo é útil. O gerenciador de tarefas deve poder mostrar as informações de serviço para um ID de processo específico. Caso contrário, o procexp certamente o fará.
Lugares comuns para procurar (incluindo aqueles que você já mencionou) são:
- Serviços
- Tarefas agendadas
- Sessões de terminal (geralmente sintomáticas por ocorrências periódicas)
EDITAR:
Minha resposta presume que a auditoria de evento de login com falha está habilitada por padrão, está em nosso ambiente. ativar a auditoria de eventos de login da conta