Van-e egyszerű módja annak, hogy megkülönböztessük a 4771 eseményeket a valós támadási perspektívától, szemben azzal, ha valaki elavult munkamenetet folytat egy régi jelszó?
Ha nem kap naplókat az összes végponttól, és a tartományvezérlõkre támaszkodik, akkor meg kell adnia a 4771 és a 4625 hibákat, ahol a 4771 a tartományhoz csatlakozott számítógépek Kerberos eseményei a DC-k.
Nagyon jó láthatóság a végpontokon anélkül, hogy mindenből naplót kapnánk, de ezekhez a 4771 eseményhez a legtöbb riasztás csak elavult munkamenet és nem biztonsági esemény. Nem látok alkódot vagy elemet, amelyet elavult / régi jelszó vagy valós támadás esetén lehúzhatnék.
Válasz
Legtöbbször ezek az események zajosak egy nagy felhasználói környezetben, jelszóváltási házirenddel. Legtöbbször ez akkor történik, ha egy fiók jelszava lejárt, és valamilyen alkalmazáshoz / szolgáltatáshoz / feladathoz van kötve, amely folyamatosan próbálkozik a bejelentkezéssel. és újra.
Ha SIEM vagy naplókezelő megoldással rendelkezik, létrehozhat egy szabályt, amely figyelmen kívül hagyja a 4771 eseményt a fiók jelszavának nemrégiben visszaállított 4723/4724 beállítására (mondjuk az elmúlt 24 órában).
Megjegyzések
- De ha nincs beállított időkorlát a szervereken, akkor az első felhasználó 4771 eseményének figyelmen kívül hagyásával a 4723/4724 esemény megszakadna = “53d552d03d”>
nem segít. Csak 24 órával késleltetné a riasztásokat. Amit megértek, kénytelen megszakadni kell, de csak ördög ' szószólóját kell játszani .
Válasz
Végül feladtam 4771 és 4625 eseményt. Ehelyett csak a fiók zárolási eseményazonosítójára összpontosítok, majd az X kizárásokon alapuló korrelációs szabályokat végzem Y órán belül a nyers erő meghatározása érdekében.
Ez sokkal tisztább, mivel a 4771 nem mindegyike ” valóban zárolt számlák, és ez drasztikusan csökkenti a hamis pozitív eredményeket.