Esiste un modo semplice per distinguere gli eventi 4771 da una prospettiva di attacco reale rispetto a qualcuno che ha una sessione obsoleta con un vecchia password?
Se non si ottengono i log da tutti gli endpoint e si fa affidamento sui controller di dominio, è necessario disattivare 4771 e 4625 per gli errori, dove 4771 sono gli eventi Kerberos dai computer aggiunti al dominio a i controller di dominio.
È bello avere visibilità sugli endpoint senza ottenere log da tutto, ma per questi 4771 eventi, la maggior parte degli avvisi che vedo sono solo sessioni obsolete ed eventi non di sicurezza. Non vedo alcun sottocodice o elemento da cui escludere una password vecchia / obsoleta rispetto a un attacco reale.
Risposta
La maggior parte delle volte questi eventi sono rumorosi in un ambiente utente di grandi dimensioni con una politica di modifica della password. La maggior parte delle volte questo accade quando la password di un account è scaduta ed è collegata ad alcune applicazioni / servizi / attività che continuano a provare ad accedere di nuovo e ancora.
Se si dispone di SIEM o di una soluzione di gestione dei log, è possibile creare una regola per ignorare 4771 eventi perché la password dellaccount è stata recentemente reimpostata 4723/4724 (ad esempio nelle ultime 24 ore).
Commenti
- Ma se non è stato impostato un timeout sui server, ignorando 4771 eventi dellutente X uno scatta un evento 4723/4724 non ' t essere daiuto. Ritarderebbe gli avvisi di 24 ore. Capisco, dovrebbe esserci una disconnessione forzata ma è solo la riproduzione di devil ' s advocate .
- ah, quindi cerca il codice 0x18 nellevento 4771. 0x18 i indica una password errata. Se più 0x18 in breve tempo, potrebbe essere un attacco. Alcuni altri eventi da monitorare sono spiegati in questo articolo trimarcsecurity.com/single-post/2018/05/06/…
- La ricerca di 0x18 ' non mi aiuta affatto. 0x18 significa password non valida che potrebbe essere un attacco legittimo o qualcuno ha appena cambiato la propria password, il che rende le sessioni obsolete ora una " password errata ".
Risposta
Ho finito per rinunciare a 4771 e 4625 eventi. Invece mi sto solo concentrando sullID evento di blocco dellaccount e quindi applicando le regole di correlazione basate sui blocchi X in Y ore per determinare la forza bruta.
Questo è stato molto più pulito poiché non tutti i 4771 “s realmente blocca gli account e riduce drasticamente i falsi positivi.