Er det en enkel måte å skille 4771 hendelser fra et reelt angrepsperspektiv mot noen som har en foreldet økt med en gammelt passord?
Hvis du ikke får logger fra alle sluttpunkter og stole på domenekontrollere, må du slå av 4771 og 4625 for feil, der 4771 er Kerberos-hendelsene fra domenet som ble koblet til datamaskiner til DC-ene.
Det er hyggelig å ha synlighet over endepunktene uten å få logger fra alt, men for disse 4771 hendelsene er de fleste varslene jeg ser bare foreldede økter og ikke-sikkerhetshendelser. Jeg ser ikke noen underkode eller gjenstander å nøkkel av for foreldet / gammelt passord kontra ekte angrep.
Svar
Mesteparten av tiden er disse hendelsene støyende i et stort brukermiljø med en policy for endring av passord. Det meste av tiden skjer dette når passordet til en konto er utløpt, og det er knyttet til en applikasjon / tjeneste / oppgave som prøver å logge på igjen. og igjen.
Hvis du har en SIEM- eller loggstyringsløsning, kan du opprette en regel for å ignorere 4771 hendelser for passordet til kontoen ble nylig tilbakestilt 4723/4724 (si de siste 24 timene).
Kommentarer
- Men hvis det ikke er noen angitt tidsavbrudd på serverne, vil ignorering av 4771 hendelser fra X-bruker en en 4723/4724 hendelse utløses, ville ikke ' t hjelp. Det ville bare forsinket varslene i 24 timer. Som jeg forstår, bør det være en tvangskobling, men bare å spille djevel ' s talsmann .
- ah så se etter 0x18-kode i tilfelle 4771. 0x18 i angir et dårlig passord. Hvis du mer 0x18 på kort tid, kan det være et angrep. Noen flere hendelser å overvåke er forklart i denne artikkelen trimarcsecurity.com/single-post/2018/05/06/…
- På jakt etter 0x18 hjelper det meg ikke '. 0x18 betyr dårlig passord som kan være et legitimt angrep, eller noen har nettopp endret passordet sitt, noe som gjør deres foreldede økter nå til et " dårlig passord ".
Svar
Jeg endte opp med å gi opp 4771 og 4625 hendelser. I stedet fokuserer jeg bare på konto-lockout-hendelses-ID-en og gjør deretter korrelasjonsregler basert på X-lockouts i Y-timer for å bestemme brute force.
Dette har vært mye renere siden ikke alle 4771-tallet virkelig lockout-kontoer, og det reduseres drastisk med falske positive.