Existuje snadný způsob, jak odlišit 4771 událostí z pohledu skutečného útoku od někoho, kdo má zastaralou relaci s staré heslo?
Pokud nedostáváte protokoly ze všech koncových bodů a nespoléháte se na řadiče domény, musíte při selhání klíčovat z 4771 a 4625, kde 4771 jsou události Kerberos z počítačů připojených k doméně řadiče domény.
Je hezké mít viditelnost napříč koncovými body, aniž byste museli získávat protokoly ze všeho, ale u těchto 4771 událostí je většina upozornění, která vidím, jen zastaralé relace a události, které nejsou zabezpečené. Nevidím žádný dílčí kód nebo položku, ze které by bylo možné odškrtnout pro zastaralé / staré heslo vs. skutečný útok.
Odpovědět
Většinu času jsou tyto události hlučné ve velkém uživatelském prostředí se zásadami pro změnu hesla. Většinou k tomu dochází, když vyprší heslo účtu a je svázáno s nějakou aplikací / službou / úkolem, který se pokouší znovu přihlásit. a znovu.
Pokud máte řešení pro správu SIEM nebo protokoly, můžete vytvořit pravidlo pro ignorování 4771 událostí pro heslo účtu bylo nedávno resetováno 4723/4724 (řekněme za posledních 24 hodin).
Komentáře
- Pokud ale na serverech není nastaven časový limit, ignorování 4771 událostí od X uživatele jedna by byla aktivována událost 4723/4724 ' t nápověda. Jen by to zpozdilo výstrahy o 24 hodin. Což chápu, mělo by existovat vynucené odpojení, ale jen hraní ďáblova ' s obhájce .
- ah potom vyhledejte kód 0x18 v případě 4771. 0x18 i ndikuje špatné heslo. Pokud v krátkém čase získáte více 0x18, může to být útok. Některé další události ke sledování jsou vysvětleny v tomto článku trimarcsecurity.com/single-post/2018/05/06/…
- Hledání 0x18 mi vůbec nepomůže '. 0x18 znamená špatné heslo, které může být legitimním útokem, nebo někdo právě změnil své heslo, díky čemuž jsou jejich zastaralé relace " špatné heslo ".
Odpověď
Nakonec jsem se vzdal 4771 a 4625 událostí. Místo toho se jen soustředím na ID události uzamčení účtu a poté provedu korelační pravidla založená na uzamčení X za Y hodin, abych určil hrubou sílu.
To bylo mnohem čistší, protože ne všechny 4771 skutečně uzamčené účty a drasticky je to omezeno na falešně pozitivní výsledky.