Windows Kerberos Pre-Auth fehlgeschlagen (4771)

Gibt es eine einfache Möglichkeit, 4771-Ereignisse aus einer realen Angriffsperspektive von jemandem zu unterscheiden, der eine veraltete Sitzung mit einem hat? altes Passwort?

Wenn Sie nicht von allen Endpunkten Protokolle erhalten und sich auf Domänencontroller verlassen, müssen Sie 4771 und 4625 für Fehler deaktivieren, wobei 4771 die Kerberos-Ereignisse von den Domänencomputern sind, mit denen Computer verbunden sind die DCs.

Es ist schön, über die Endpunkte hinweg sichtbar zu sein, ohne Protokolle von allem zu erhalten, aber für diese 4771-Ereignisse sind die meisten Warnungen, die ich sehe, nur veraltete Sitzungen und nicht sicherheitsrelevante Ereignisse. Ich sehe keinen Subcode oder Gegenstand, den ich für ein veraltetes / altes Passwort im Vergleich zu einem echten Angriff abschreiben könnte.

Antwort

Meistens sind diese Ereignisse in einer großen Benutzerumgebung mit einer Kennwortänderungsrichtlinie verrauscht. Meistens geschieht dies, wenn das Kennwort eines Kontos abgelaufen ist und es mit einer Anwendung / einem Dienst / einer Aufgabe verknüpft ist, die bzw. der erneut versucht, sich anzumelden und wieder.

Wenn Sie über eine SIEM- oder Protokollverwaltungslösung verfügen, können Sie eine Regel erstellen, um 4771 Ereignisse für das Kennwort des Kontos zu ignorieren. Das Kennwort des Kontos wurde kürzlich zurückgesetzt. 4723/4724 (z. B. in den letzten 24 Stunden).

Kommentare

  • Wenn auf den Servern kein Zeitlimit festgelegt ist, wird beim Ignorieren von 4771 Ereignissen von X-Benutzer 1 ein 4723/4724-Ereignis ausgelöst = „53d552d03d“>

t help. Es würde die Warnungen nur um 24 Stunden verzögern. Ich verstehe, es sollte eine erzwungene Trennung geben, aber nur den Anwalt von devil ' spielen

  • ah dann suchen Sie im Ereignis 4771 nach 0x18-Code. 0x18 i zeigt ein falsches Passwort an. Wenn Sie in kurzer Zeit mehr 0x18 haben, könnte dies ein Angriff sein. Weitere zu überwachende Ereignisse werden in diesem Artikel erläutert. trimarcsecurity.com/single-post/2018/05/06/…
  • Die Suche nach 0x18 hilft mir ' überhaupt nicht. 0x18 bedeutet falsches Passwort, das ein legitimer Angriff sein könnte, oder jemand hat gerade sein Passwort geändert, wodurch seine veralteten Sitzungen jetzt zu einem " falschen Passwort " werden.
  • Antwort

    Am Ende habe ich 4771 und 4625 Ereignisse aufgegeben. Stattdessen konzentriere ich mich nur auf die Ereignis-ID für die Kontosperrung und mache dann Korrelationsregeln basierend auf X-Sperrungen in Y-Stunden, um die Brute Force zu bestimmen.

    Dies war viel sauberer, da nicht alle 4771 „s Konten wirklich sperren und es wird drastisch auf Fehlalarme reduziert.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.