A Windows Kerberos előzetes hitelesítése sikertelen (4771)

Van-e egyszerű módja annak, hogy megkülönböztessük a 4771 eseményeket a valós támadási perspektívától, szemben azzal, ha valaki elavult munkamenetet folytat egy régi jelszó?

Ha nem kap naplókat az összes végponttól, és a tartományvezérlõkre támaszkodik, akkor meg kell adnia a 4771 és a 4625 hibákat, ahol a 4771 a tartományhoz csatlakozott számítógépek Kerberos eseményei a DC-k.

Nagyon jó láthatóság a végpontokon anélkül, hogy mindenből naplót kapnánk, de ezekhez a 4771 eseményhez a legtöbb riasztás csak elavult munkamenet és nem biztonsági esemény. Nem látok alkódot vagy elemet, amelyet elavult / régi jelszó vagy valós támadás esetén lehúzhatnék.

Válasz

Legtöbbször ezek az események zajosak egy nagy felhasználói környezetben, jelszóváltási házirenddel. Legtöbbször ez akkor történik, ha egy fiók jelszava lejárt, és valamilyen alkalmazáshoz / szolgáltatáshoz / feladathoz van kötve, amely folyamatosan próbálkozik a bejelentkezéssel. és újra.

Ha SIEM vagy naplókezelő megoldással rendelkezik, létrehozhat egy szabályt, amely figyelmen kívül hagyja a 4771 eseményt a fiók jelszavának nemrégiben visszaállított 4723/4724 beállítására (mondjuk az elmúlt 24 órában).

Megjegyzések

  • De ha nincs beállított időkorlát a szervereken, akkor az első felhasználó 4771 eseményének figyelmen kívül hagyásával a 4723/4724 esemény megszakadna = “53d552d03d”>

nem segít. Csak 24 órával késleltetné a riasztásokat. Amit megértek, kénytelen megszakadni kell, de csak ördög ' szószólóját kell játszani .

  • ah, akkor keressen 0x18 kódot a 4771 eseménynél. 0x18 i rossz jelszót jelöl meg. Ha több 0x18-at rövid idő alatt, akkor ez támadás lehet. Néhány további megfigyelendő esemény ismertetése ebben a cikkben trimarcsecurity.com/single-post/2018/05/06/…
  • A 0x18 keresése egyáltalán nem segít '. A 0x18 rossz jelszót jelent, amely jogos támadás lehet, vagy valaki csak megváltoztatta a jelszavát, aminek következtében az elavult munkamenetek " rossz jelszóval ".
  • Válasz

    Végül feladtam 4771 és 4625 eseményt. Ehelyett csak a fiók zárolási eseményazonosítójára összpontosítok, majd az X kizárásokon alapuló korrelációs szabályokat végzem Y órán belül a nyers erő meghatározása érdekében.

    Ez sokkal tisztább, mivel a 4771 nem mindegyike ” valóban zárolt számlák, és ez drasztikusan csökkenti a hamis pozitív eredményeket.

    Vélemény, hozzászólás?

    Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük