¿Existe una manera fácil de distinguir 4771 eventos desde una perspectiva de ataque real frente a alguien que tiene una sesión obsoleta con un ¿Contraseña anterior?
Si no obtiene registros de todos los puntos finales y confía en los controladores de dominio, debe eliminar 4771 y 4625 para fallas, donde 4771 son los eventos de Kerberos de las computadoras unidas al dominio para los controladores de dominio.
Es agradable tener visibilidad a través de los puntos finales sin obtener registros de todo, pero para estos eventos 4771, la mayoría de las alertas que veo son sesiones obsoletas y eventos que no son de seguridad. No veo ningún subcódigo o elemento para eliminar una contraseña obsoleta o antigua frente a un ataque real.
Responder
La mayoría de las veces, estos eventos son ruidosos en un entorno de usuario grande con una política de cambio de contraseña. La mayoría de las veces esto sucede cuando la contraseña de una cuenta expira y está vinculada con alguna aplicación / servicio / tarea que sigue intentando iniciar sesión nuevamente y nuevamente.
Si tiene SIEM o una solución de administración de registros, puede crear una regla para ignorar 4771 eventos para la contraseña de la cuenta que se restableció recientemente 4723/4724 (digamos en las últimas 24 horas).
Comentarios
- Pero si no hay un tiempo de espera establecido en los servidores, al ignorar 4771 eventos del usuario X uno se dispara un evento 4723/4724 sin ' t ayuda. Solo retrasaría las alertas durante 24 horas. Lo que entiendo, debería haber una desconexión forzada, pero simplemente jugando al defensor del ' .
- ah, luego busque el código 0x18 en el evento 4771. 0x18 i Indica una contraseña incorrecta. Si más 0x18 en poco tiempo, podría ser un ataque. En este artículo se explican algunos eventos más para monitorear trimarcsecurity.com/single-post/2018/05/06/…
- Buscar 0x18 no ' me ayuda en absoluto. 0x18 significa contraseña incorrecta que podría ser un ataque legítimo o alguien acaba de cambiar su contraseña, lo que hace que sus sesiones obsoletas ahora sean una " contraseña incorrecta ".
Respuesta
Terminé renunciando a los eventos 4771 y 4625. En su lugar, me estoy concentrando en el ID del evento de bloqueo de la cuenta y luego haciendo reglas de correlación basadas en X bloqueos en Y horas para determinar la fuerza bruta.
Esto ha sido mucho más limpio ya que no todos los 4771 «s realmente bloquee las cuentas y reduzca drásticamente los falsos positivos.