Existe-t-il un moyen simple de distinguer les événements 4771 du point de vue dune attaque réelle par rapport à une personne ayant une session périmée avec un ancien mot de passe?
Si vous nobtenez pas les journaux de tous les points de terminaison et que vous comptez sur les contrôleurs de domaine, vous devez désactiver 4771 et 4625 pour les échecs, où 4771 sont les événements Kerberos des ordinateurs joints au domaine vers les contrôleurs de domaine.
Cest bien davoir une visibilité sur les points de terminaison sans obtenir les journaux de tout, mais pour ces 4771 événements, la plupart des alertes que je vois ne sont que des sessions obsolètes et des événements non liés à la sécurité. Je ne vois aucun sous-code ou élément à désactiver pour un mot de passe obsolète / ancien ou une attaque réelle.
Réponse
La plupart du temps, ces événements sont bruyants dans un grand environnement utilisateur avec une politique de changement de mot de passe. La plupart du temps, cela se produit lorsque le mot de passe dun compte est expiré et quil est lié à une application / service / tâche qui essaie de nouveau de se connecter et encore.
Si vous avez une solution SIEM ou de gestion des journaux, vous pouvez créer une règle pour ignorer les événements 4771 pour le mot de passe du compte a été récemment réinitialisé 4723/4724 (disons dans les dernières 24 heures).
Commentaires
- Mais sil ny a pas de délai dexpiration défini sur les serveurs, alors en ignorant les 4771 événements de lutilisateur X un, un événement 4723/4724 est déclenché ne ' t help. Cela ne ferait que retarder les alertes de 24 heures. Ce que je comprends, il devrait y avoir une déconnexion forcée, mais simplement jouer lavocat du diable ' .
- ah puis recherchez le code 0x18 dans lévénement 4771. 0x18 i ndique un mauvais mot de passe. Si vous avez plus de 0x18 dans un court laps de temps, cela pourrait être une attaque. Dautres événements à surveiller sont expliqués dans cet article trimarcsecurity.com/single-post/2018/05/06/…
- La recherche de 0x18 ne maide pas '. 0x18 signifie un mauvais mot de passe qui pourrait être une attaque légitime ou quelquun vient de changer son mot de passe, ce qui rend ses sessions obsolètes maintenant un " mauvais mot de passe ".
Réponse
Jai fini par abandonner les événements 4771 et 4625. Au lieu de cela, je me concentre uniquement sur lID dévénement de verrouillage de compte, puis je fais des règles de corrélation basées sur X lock-out en Y heures pour déterminer la force brute.
Cela a été beaucoup plus propre depuis les 4771 « s vraiment verrouiller les comptes et réduire considérablement les faux positifs.