Abbiamo ricevuto allarmi per questo nel nostro SIEM oggi. Credo che sia previsto e solo "rumore". L'allarme è stato attivato immediatamente dopo che Exchange ha eliminato ThrottlingConfig.log.
So che Exchange Server 2013 CU5, CU5 include una configurazione di probe disponibilità gestita che riavvia frequentemente il servizio cache condivisa di Microsoft Exchange in alcuni ambienti. Il servizio viene aggiunto per fornire miglioramenti delle prestazioni future e non viene utilizzato nell'aggiornamento cumulativo 5. Ulteriori informazioni sono disponibili in KB2971467
Quindi sembra che questo allarme attivato dall'evento sia un falso positivo. Qualcun altro lo sperimenta?
http://schemas.microsoft.com/win/2004/08/events/event'>46490InformationOther Logon/Logoff EventsInfoAudit Failure79125070SecurityDOMAINA replay attack was detected.\r\n\r\nSubject:\r\n\tSecurity ID:\t\tNT AUTHORITY\SYSTEM\r\n\tAccount Name:\t\tSERVERNAME$\r\n\tAccount Domain:\t\tDOMAIN\r\n\tLogon ID:\t\t0x3E7\r\n\r\nCredentials Which Were Replayed:\r\n\tAccount Name:\t\tHealthMailboxXXXXX\r\n\tAccount Domain:\t\tDOMAIN\r\n\r\nProcess Information:\r\n\tProcess ID:\t\t0x673b81d620\r\n\tProcess Name:\t\tC:\Windows\System32\inetsrv\w3wp.exe\r\n\r\nNetwork Information:\r\n\tWorkstation Name:\t-\r\n\r\nDetailed Authentication Information:\r\n\tRequest Type:\t\tKRB_AP_REQ\r\n\tLogon Process:\t\tKerberos\r\n\tAuthentication Package:\tKerberos\r\n\tTransited Services:\t-\r\n\r\nThis event indicates that a Kerberos replay attack was detected- a request was received twice with identical information. This condition could be caused by network misconfiguration.