各位前輩們請教一下

經常發生SOC通報，內部主機對DC進行密碼暴力破解，皆是針對AD的445port，
事件大多發生在剛開機、登出後再登入時，
經了解很多人並沒有打錯登入密碼，有打錯的通常在3次內就會輸入正確，
不知道為什麼會觸發這個通告?
目前沒人找到原因，
想關掉規則但又不敢關掉
(SOC密碼暴力破解觸發條件:2秒鐘35次)

請問我要怎麼找出問題來?

環境如下
AD有8台，用nslookup domain去查每次順序都不一樣
另外有AD有啟用共享資料夾(網芳)、DC、DNS
Nmap掃描AD結果，對服務進行大致分類如下

53/tcp open domain Microsoft DNS
88/tcp open kerberos-sec Windows 2003 Kerberos
139/tcp open netbios-ssn Microsoft Windows 98 netbios-ssn
445/tcp open microsoft-ds (primary domain: TAINAN)
464/tcp open kpasswd5?

389/tcp open ldap
636/tcp open ssl/ldap
3268/tcp open ldap
3269/tcp open ssl/ldap

135/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49158/tcp open msrpc Microsoft Windows RPC
49163/tcp open msrpc Microsoft Windows RPC

我猜....會不會剛好遇到AD驗證機制忙線中或是剛好配發的IP與原先不一致?

比如說 第一次握手要求身分驗證
第二次握手進行身分驗證，但這時因為原本AD忙線負載平衡到另一台AD，解析的IP與第一次握手的IP不一樣了?

目前討論誤判的機會很高，
很可能只是因為單位時間內的連線數量過多而觸發PA(Palo Alto防火牆)的規則，
送出事件到soc，
又歸屬於低風險事件，
所以暫時先不錄案處理，
只是還是找不到原因...
沒有剛好同時懂AD+DC+DNS+WSUS+憑證+PA的人，
都是略懂略懂XD