В общем, всё сводится к тому, что атаки через туннели в AD почти всегда прячутся в обычных протоколах типа DNS и HTTPS, и не поймаешь их просто по одному подозрительному запросу. Главное — смотреть на цепочку: был вход, разведка, а потом вдруг странный, но разрешённый трафик с нетипичным поведением. Так защитникам проще понять, что это не просто шум, а реально скрытая активность.