Gestire i registri di errori eccessivi di autenticazione di server e membri

1

Attualmente, nel nostro ambiente SIEM, stiamo tentando di ridurre il rumore e tutti gli elementi non utilizzabili. Uno degli articoli più frequenti che riceviamo su base settimanale è un rapporto basato su errori di autenticazione dei membri e dei server eccessivi.

Il concetto generale è di informarci di tutti gli account che falliscono costantemente l'autenticazione su un host per un periodo di 24 ore, in cui nessun evento di successo è visto nello stesso periodo di 24 ore. Spesso determiniamo il tipo di errore in base al codice evento che produce e l'ID firma / firma.

Il nostro processo standard consiste nel contattare l'account o il proprietario del server e chiedere a lui / lei di indagare su cosa sta causando i guasti eccessivi. Questo processo può essere piuttosto lungo e dispendioso in termini di tempo e dipende dalla comunicazione degli analisti al proprietario dell'account. Direi che il 95% di questi avvisi non è utilizzabile o sono chiusi dopo una ricerca SIEM di follow-up.

Per evitare un possibile attacco di forza bruta, monitoriamo questi registri. La mia domanda è; c'è un ulteriore livello di filtraggio o regole da modificare per ridurre questi log.

Codici evento comuni:

4625 
4776

C'è anche un altro processo che può essere utilizzato per monitorare e segnalare tali account eccessivi. Al momento, abbiamo bisogno di creare un nuovo ticket di tracciamento per ogni account che soddisfi il nostro attuale standard e / o soglia.

Attraverso l'analisi, credo che se un analista può determinare se l'errore è effettivamente una forza bruta è perseguibile, allora dovremmo completare i passaggi richiesti. In caso contrario, questi errori eccessivi possono essere rivisti e inoltrati al proprietario dell'account rispettato, se necessario.

Qualche idea in merito? Grazie!

    
posta Curious Analyst 14.10.2018 - 19:25
fonte

1 risposta

1

It is true, as you said, that both event IDs can be very noisy (especially ID 4625). However the way how to handle those event can be, from my experience, improved with the following suggestions.

Nella prima mano e se il tuo obiettivo è quello di migliorare il tuo processo , ti suggerirei di rivedere il modo in cui raggruppa e gestisci quegli eventi nel tuo SIEM (qualunque esso sia). In realtà, analizzare ogni evento come un singolo evento può trasformarsi in una perdita di tempo e in una perdita totale di visibilità. Ciò che sarebbe interessante è che si raggruppano gli eventi e si conta (con le soglie), ad esempio, la quantità di tempo durante la quale un IP di origine, un utente o un obiettivo vengono visti durante un tentativo di accesso fallito. Questo può essere fatto creando alcune regole / scenari / casi d'uso brutforce avanzati. Di seguito vi fornisco un concetto che ho fatto e che ho implementato. Sulla sinistra hai i diversi parametri di quanti puoi regolare e su cui devi raggruppare o meno. Rischio indica il livello di criticità degli scenari quando avvisi e soglie la variabile da regolare per lo scenario / caso d'uso.

Noteraichenonraggruppoilcodicedierrore.Questoperchéritengocheunattaccantepossaprodurrerisultatidiversiduranteunattaccobrutforce.Tuttavia,puoiancoracrearecasid'usospecificipererrorispecifici(accountbloccati,disabilitati,scaduti,nonesistenti...).

D'altraparte,seiltuoobiettivoèanchequellodiridurrelaquantitàdiqueglieventi,possosuggerireleseguentiazioni:

  • Aumentalaprioritàsuitentatividiaccessononriuscitisurisorsespecifiche(serversensibili,serverDMZ,database,controllerdidominio,PKI,...)
  • Concentratisugliaccessinonriuscitisugliaccountsensibili(ades.accountdiservizioodiamministrazione)
  • Ignoraiblocchidibloccosugliaccountutentefinchénonrimangonosottolesogliedeicriteridiblocco
  • Correlareglieventidierrore(ID4625e4776)conglieventiprodottisulcomputerdiorigine(ID4648).QuestopotrebbeconsentiredirilevareattacchidimovimentoPtholaterale.Puoiutilizzarelaseguentetabelladierrori/eventidisuccessopercreareilcollegamentotraorigineedestinazioneearricchirel'outputperiltuoanalista.

  • CorrelagliIDdeglieventidierrore4625conglieventiKerberos(ID4771,4768)perarricchireirisultatichel'analistadovràcontrollare

  • Ignoraalcunicodicidierrorespecificineituoiprincipalicasid'uso,mafaifuoriunnuovocasod'usoconprioritàpiùbassa.Controlleraiquestiincidentipiùtardi.Comeinput,possofornireilseguenteestrattodicodicidierroreper4625perfiltrareciòdicuihaibisogno:

So I hope this bunch of information will help you. But keep in mind, correlation in the key to reduce load, false positive and increase visibility.

    
risposta data 18.10.2018 - 17:02
fonte

Leggi altre domande sui tag