실제 공격 관점에서 4771 이벤트를 구별하는 쉬운 방법이 있습니까? 이전 암호?
모든 끝점에서 로그를 가져 오지 않고 도메인 컨트롤러에 의존하는 경우 실패에 대해 4771 및 4625를 키 오프해야합니다. 여기서 4771은 도메인에 가입 된 컴퓨터의 Kerberos 이벤트입니다.
모든 것에서 로그를 가져 오지 않고 엔드 포인트 전체에 대한 가시성을 확보하는 것이 좋지만 이러한 4771 이벤트의 경우 내가 보는 대부분의 경고는 부실한 세션과 비보안 이벤트 일뿐입니다. 부실 / 오래된 암호와 실제 공격에 대해 키 오프 할 하위 코드 또는 항목이 없습니다.
답변
대부분의 경우 이러한 이벤트는 암호 변경 정책이있는 대규모 사용자 환경에서 시끄 럽습니다. 대부분의 경우 이러한 이벤트는 계정의 암호가 만료되고 계속 로그인을 시도하는 일부 응용 프로그램 / 서비스 / 작업과 연결될 때 발생합니다. 그리고 다시.
SIEM 또는 로그 관리 솔루션이있는 경우 계정의 암호가 최근 재설정 된 4723/4724 (예 : 지난 24 시간)에 대한 4771 이벤트를 무시하는 규칙을 만들 수 있습니다.
댓글
- 하지만 서버에 설정된 시간 제한이없는 경우 X 사용자 1의 4771 이벤트를 무시하면 4723/4724 이벤트가 트리거됩니다. ' 도움이되지 않습니다. 24 시간 동안 알림이 지연 될뿐입니다. 강제로 연결이 끊어 져야하지만 악마의 옹호자 ' .
- ah 그런 다음 4771 이벤트에서 0x18 코드를 찾습니다. 0x18 i 잘못된 암호를 나타냅니다. 짧은 시간에 0x18을 더 많이 사용하면 공격이 될 수 있습니다. 모니터링 할 더 많은 이벤트는이 문서 trimarcsecurity.com/single-post/2018/05/06/ …
- 0x18을 찾는 것은 ' 전혀 도움이되지 않습니다. 0x18은 합법적 인 공격 일 수있는 잘못된 암호를 의미하거나 누군가 방금 암호를 변경하여 오래된 세션을 " 잘못된 암호 "로 만듭니다.
답변
결국 4771 및 4625 이벤트를 포기했습니다. 대신 저는 계정 잠금 이벤트 ID에 초점을 맞춘 다음 Y 시간 내에 X 잠금을 기반으로하는 상관 규칙을 수행하여 무차별 대입을 결정합니다.
이것은 4771 “모두가 아니기 때문에 훨씬 더 깔끔했습니다. 진정으로 계정을 잠그고 오탐을 대폭 줄였습니다.