Onko olemassa helppo tapa erottaa 4771 tapahtumaa todellisesta hyökkäysnäkökulmasta verrattuna jonkun kanssa vanhentuneeseen istuntoon vanha salasana?
Jos et saa lokeja kaikista päätepisteistä ja luotat toimialueiden ohjaimiin, sinun on näppäiltävä virheet kohdista 4771 ja 4625, joissa 4771 on Kerberos-tapahtumia verkkotunnuksesta liitetyistä tietokoneista DC: t.
On hienoa, että näkyvyys päätepisteiden yli on saamatta lokeja kaikesta, mutta näistä 4771 tapahtumasta suurin osa näkemistäni hälytyksistä on vain vanhentuneita istuntoja ja muita kuin tietoturvatapahtumia. En näe mitään alikoodia tai alkion avainta vanhentuneesta / vanhasta salasanasta tai todellisesta hyökkäyksestä.
Vastaa
Useimmiten nämä tapahtumat ovat meluisia suuressa käyttäjäympäristössä, jossa on salasananvaihtokäytäntö. Useimmiten tämä tapahtuu, kun tilin salasana on vanhentunut ja se on sidottu johonkin sovellukseen / palveluun / tehtävään, joka yrittää kirjautua uudelleen. ja uudestaan.
Jos sinulla on SIEM- tai lokinhallintaratkaisu, voit luoda säännön ohittamaan 4771 tapahtumaa tilin salasanalle, joka on äskettäin nollattu 4723/4724 (sanotaan viimeisen 24 tunnin aikana).
Kommentit
- Mutta jos palvelimilla ei ole asetettua aikakatkaisua, niin jättämällä huomiotta X-käyttäjän 4771 tapahtuman yksi, 4723/4724 -tapahtuma laukeaa wouldn ' ei auta. Se vain viivästyttäisi ilmoituksia 24 tunnilla. Ymmärrän, että katkaisun pitäisi olla pakko, mutta pelaavan paholaista ' puolestapuhujaa .
- ah etsi sitten 0x18-koodi tapahtumasta 4771. 0x18 i n osoittaa väärän salasanan. Jos lisäät 0x18 lyhyessä ajassa, se voi olla hyökkäys. Joitakin muita seurattavia tapahtumia selitetään tässä artikkelissa trimarcsecurity.com/single-post/2018/05/06/…
- 0x18: n etsiminen ei auta minua lainkaan '. 0x18 tarkoittaa huonoa salasanaa, joka voi olla laillinen hyökkäys tai joku on juuri vaihtanut salasanansa, mikä tekee vanhentuneista istunnoista nyt " huonon salasanan ".
vastaus
Päätin lopettaa 4771 ja 4625 tapahtuman. Sen sijaan keskityn vain tilin lukitustapahtuman tunnukseen ja teen sitten X-lukkoihin perustuvia vastaavuussääntöjä Y tunnissa raakan voiman määrittämiseksi.
Tämä on ollut paljon puhtaampaa, koska kaikki 4771-luvut eivät ole todella lukitut tilit ja se vähentää vääriä positiivisia tuloksia.