各位前輩們請教一下
經常發生SOC通報,內部主機對DC進行密碼暴力破解,皆是針對AD的445port,
事件大多發生在剛開機、登出後再登入時,
經了解很多人並沒有打錯登入密碼,有打錯的通常在3次內就會輸入正確,
不知道為什麼會觸發這個通告?
目前沒人找到原因,
想關掉規則但又不敢關掉
(SOC密碼暴力破解觸發條件:2秒鐘35次)
請問我要怎麼找出問題來?
環境如下
AD有8台,用nslookup domain去查每次順序都不一樣
另外有AD有啟用共享資料夾(網芳)、DC、DNS
Nmap掃描AD結果,對服務進行大致分類如下
53/tcp open domain Microsoft DNS
88/tcp open kerberos-sec Windows 2003 Kerberos
139/tcp open netbios-ssn Microsoft Windows 98 netbios-ssn
445/tcp open microsoft-ds (primary domain: TAINAN)
464/tcp open kpasswd5?
389/tcp open ldap
636/tcp open ssl/ldap
3268/tcp open ldap
3269/tcp open ssl/ldap
135/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49158/tcp open msrpc Microsoft Windows RPC
49163/tcp open msrpc Microsoft Windows RPC
我猜....會不會剛好遇到AD驗證機制忙線中或是剛好配發的IP與原先不一致?
比如說 第一次握手要求身分驗證
第二次握手進行身分驗證,但這時因為原本AD忙線負載平衡到另一台AD,解析的IP與第一次握手的IP不一樣了?
目前討論誤判的機會很高,
很可能只是因為單位時間內的連線數量過多而觸發PA(Palo Alto防火牆)的規則,
送出事件到soc,
又歸屬於低風險事件,
所以暫時先不錄案處理,
只是還是找不到原因...
沒有剛好同時懂AD+DC+DNS+WSUS+憑證+PA的人,
都是略懂略懂XD
SoC 是你們自己管的嗎?
如果不是的話, 發函給 SoC 主管說:
你們多次誤報, 請提供 Raw Data 佐證你們的警報正確性.
如無法提供佐證, 請暫時關閉此項警報, 直到查證屬實為止.
不需要 SoC 說甚麼, 你們就信甚麼; SoC 很多 OP 人員也只是傻傻的白目, 看到自動警報出現, 腦袋都不判斷一下就轉發...
他如果能查出, 我都查不出來的現象, 那我當然是要虛心的, 邀請他來現場, 指導我相關技巧, 讓我以後可以自己查出來.
但若他只是胡亂唬爛喊狼來了, 又不敢舉證讓所有人信服的話, 我會把他發的警告, 從他嘴裡塞回去....
IT 做事講證據, 不是比職級大小...
看看是不是有人掛網路硬碟(有吃domain users驗證) 改密碼忘了?
內部主機對DC進行密碼暴力破解,皆是針對AD的445port,....事件大多發生在剛開機、登出後再登入時
這樣看來其實是知道那台主機,可以請SOC提供Raw Data
比較常見的如前輩所說網路硬碟,另一種是主機的某個服務有設定登入帳密log on as service