実際の攻撃の観点から4771イベントを区別する簡単な方法はありますか?古いパスワード?
すべてのエンドポイントからログを取得せず、ドメインコントローラーに依存している場合は、障害が発生した場合に4771と4625をキーオフする必要があります。ここで、4771はドメインに参加しているコンピューターからのKerberosイベントです。 DC。
すべてからログを取得せずにエンドポイント全体を可視化できるのは素晴らしいことですが、これらの4771イベントの場合、表示されるアラートのほとんどは古いセッションとセキュリティ以外のイベントです。古い/古いパスワードと実際の攻撃を比較するためにキーオフするサブコードやアイテムが表示されません。
回答
ほとんどの場合、これらのイベントは、パスワード変更ポリシーのある大規模なユーザー環境ではノイズが多くなります。ほとんどの場合、これは、アカウントのパスワードの有効期限が切れており、ログインを再試行し続けるアプリケーション/サービス/タスクに関連付けられている場合に発生します。
SIEMまたはログ管理ソリューションを使用している場合は、アカウントのパスワードが最近リセットされた4723/4724の4771イベントを無視するルールを作成できます(たとえば、過去24時間)。
コメント
- ただし、サーバーにタイムアウトが設定されていない場合、Xユーザー1からの4771イベントを無視すると、4723/4724イベントがトリップします'助けになります。アラートを24時間遅らせるだけです。私が理解していることですが、強制的に切断する必要がありますが、悪魔を演じるだけです' 。
- 次に、イベント4771で0x18コードを探します。0x18i不正なパスワードを示します。短時間で0x18を超える場合は、攻撃である可能性があります。この記事では、監視するその他のイベントについて説明しています trimarcsecurity.com/single-post/2018/05/06/ …
- 0x18を探しても'まったく役に立ちません。 0x18は、正当な攻撃である可能性のある不正なパスワードを意味するか、誰かがパスワードを変更したために、古いセッションが"不正なパスワード"になりました。
回答
4771と4625のイベントをあきらめました。代わりに、私は「アカウントロックアウトイベントIDに焦点を合わせ、Y時間のXロックアウトに基づいて相関ルールを実行してブルートフォースを決定しています。
これは、すべての4771がないため、はるかにクリーンです。本当にアカウントをロックアウトし、誤検知を大幅に削減します。