Există o modalitate ușoară de a distinge 4771 de evenimente dintr-o perspectivă reală de atac față de cineva care are o sesiune veche cu un parolă veche?
Dacă nu obțineți jurnale de la toate punctele finale și vă bazați pe controlere de domeniu, trebuie să tastați 4771 și 4625 pentru eșecuri, unde 4771 este evenimentele Kerberos din domeniul computerelor conectate la DC-urile.
Este plăcut să ai vizibilitate în toate punctele finale fără a obține jurnale din toate, dar pentru aceste 4771 de evenimente, majoritatea alertelor pe care le văd sunt doar sesiuni vechi și evenimente care nu sunt de securitate. Nu văd niciun cod secundar sau element pentru a-l tasta pentru o parolă veche / veche vs. atac real.
Răspuns
De cele mai multe ori aceste evenimente sunt zgomotoase într-un mediu mare de utilizator cu o politică de modificare a parolei. De cele mai multe ori acest lucru se întâmplă atunci când parola unui cont este expirată și este legată de o anumită aplicație / serviciu / sarcină care continuă să încerce să se conecteze din nou. și din nou.
Dacă aveți o soluție SIEM sau de gestionare a jurnalelor, puteți crea o regulă pentru a ignora 4771 de evenimente pentru că parola contului a fost resetată recent 4723/4724 (să zicem în ultimele 24 de ore).
Comentarii
- Dar dacă nu există un timeout setat pe servere, atunci ignorând 4771 de evenimente de la X utilizatorul unu un eveniment 4723/4724 este declanșat nu ar ' nu ajută. Ar întârzia alertele timp de 24 de ore. Ceea ce înțeleg, ar trebui să existe o deconectare forțată, dar doar să joci avocatul diavolului ' .
- Ah, apoi căutați codul 0x18 în cazul 4771. 0x18 i ndică o parolă greșită. Dacă aveți mai mult 0x18 într-un timp scurt, ar putea fi un atac. Mai multe evenimente de monitorizat sunt explicate în acest articol trimarcsecurity.com/single-post/2018/05/06/…
- Căutarea pentru 0x18 nu mă ajută deloc. 0x18 înseamnă o parolă greșită care ar putea fi un atac legitim sau cineva tocmai și-a schimbat parola, ceea ce face ca sesiunile vechi să devină acum o " parolă greșită ".
Răspuns
Am ajuns să renunț la 4771 și 4625 de evenimente. În schimb, mă concentrez doar pe ID-ul evenimentului de blocare a contului și apoi fac reguli de corelare bazate pe blocări X în Y ore pentru a determina forța brută.
Acest lucru a fost mult mai curat, deoarece nu toți cei 4771 „s conturi de blocare cu adevărat și reducerea drastică a falsurilor pozitive.