Czy istnieje łatwy sposób na odróżnienie 4771 zdarzeń z perspektywy prawdziwego ataku od kogoś, kto ma przestarzałą sesję z stare hasło?
Jeśli nie otrzymujesz dzienników ze wszystkich punktów końcowych i nie polegasz na kontrolerach domeny, musisz wyłączyć 4771 i 4625 dla awarii, gdzie 4771 to zdarzenia Kerberos z komputerów przyłączonych do domeny DCs.
Fajnie jest mieć widoczność między punktami końcowymi bez uzyskiwania dzienników ze wszystkiego, ale dla tych 4771 zdarzeń większość alertów, które widzę, to po prostu nieaktualne sesje i zdarzenia niezwiązane z bezpieczeństwem. Nie widzę żadnego kodu podrzędnego ani elementu do wyłączenia z powodu nieaktualnego / starego hasła w porównaniu z rzeczywistym atakiem.
Odpowiedź
W większości przypadków zdarzenia te są hałaśliwe w dużym środowisku użytkownika z polityką zmiany hasła. Najczęściej dzieje się tak, gdy hasło konta wygasło i jest powiązane z jakąś aplikacją / usługą / zadaniem, które ciągle próbują się zalogować i jeszcze raz.
Jeśli masz SIEM lub rozwiązanie do zarządzania dziennikami, możesz utworzyć regułę ignorowania 4771 zdarzeń, ponieważ hasło konta zostało niedawno zresetowane 4723/4724 (powiedzmy w ciągu ostatnich 24 godzin).
Komentarze
- Ale jeśli nie ma ustawionego limitu czasu na serwerach, to zignorowanie 4771 zdarzeń od pierwszego użytkownika X spowoduje wyzwolenie zdarzenia 4723/4724 nie ' t pomocy. Po prostu opóźniłoby alerty o 24 godziny. Rozumiem, że powinno nastąpić wymuszone rozłączenie, ale po prostu gram w diabła ' adwokata .
- ah, a następnie poszukaj kodu 0x18 w zdarzeniu 4771. 0x18 i wskazuje złe hasło. Jeśli w krótkim czasie masz więcej 0x18, może to być atak. W tym artykule opisano więcej zdarzeń do monitorowania trimarcsecurity.com/single-post/2018/05/06/…
- Szukanie 0x18 nie ' w ogóle mi nie pomaga. 0x18 oznacza złe hasło, które może być uzasadnionym atakiem lub ktoś właśnie zmienił hasło, co powoduje, że nieaktualne sesje są teraz " złym hasłem ".
Odpowiedź
W końcu zrezygnowałem z wydarzeń 4771 i 4625. Zamiast tego skupiam się tylko na identyfikatorze zdarzenia blokady konta, a następnie robię reguły korelacji oparte na blokadach X w ciągu Y godzin, aby określić brutalną siłę.
To było dużo czystsze, ponieważ nie wszystkie z 4771 naprawdę blokuje konta i drastycznie ogranicza liczbę fałszywych alarmów.