被入侵？被嘗試暴力破解？該如何處置？(已請資安廠商協助解決)

暴力破解入侵偵測

snackshih 2021-07-20 07:57:20 ‧ 2705 瀏覽

最近小弟用OSSIM去建置資安事件管理，今天上午發現以下幾個警告，因為不確定是不是真的被入侵，也沒有處理的經驗。
想請各位前輩幫個忙，解讀一下有可能是什麼情況？如果真的要請廠商幫忙，我可以先怎麼處理？

以上三個圖片的時間點，小弟有先調監視器，確認這個時間點沒有人在座位上…

後來資安廠商提供協助，排除是入侵事件…而是XP本身驗證問題…。

看更多先前的討論...收起先前的討論...

一級屠豬士 iT邦大師 1 級 ‧ 2021-07-20 10:06:22 檢舉

貼圖的字太小了....是否另外再找其他圖床,可以方便放大的.

snackshih iT邦新手 4 級 ‧ 2021-07-20 10:23:22 檢舉

不好意思…有再重放一次…。

打雜工 iT邦研究生 1 級 ‧ 2021-07-21 20:55:46 檢舉

XP ? 建議是不是該換了

prnews iT邦新手 5 級 ‧ 2021-07-23 17:54:07 檢舉

XP應該已經停止更新了吧~ 不換早晚出問題

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

小湯

iT邦好手 1 級 ‧ 2021-07-20 09:09:48

建議先請教一下,公司既有的設備廠商.
若有防火牆,就問防火牆廠商,或資安廠商。

若是內部攻擊 >
1.要盡快找到來源.
2.並將重要系統加強密碼.
3.切勿使用default password.

snackshih iT邦新手 4 級 ‧ 2021-07-20 09:26:49 檢舉

公司有防火牆，也有入侵偵測防禦，將打算問原廠，同時也想聽聽各位前輩們的意見與見解…，謝謝！

mathewkl

iT邦高手 1 級 ‧ 2021-07-20 18:06:56

攻擊來源?
只有該目標主機被針對?
被針對的途徑?
使用的是既有帳號還是亂猜?

我只看的到有一台主機被暴力測試
其他情報都~沒~有~

snackshih iT邦新手 4 級 ‧ 2021-07-20 21:12:01 檢舉

是的…因為小弟專業不足、經驗不足，不曉得問題應該怎麼問，該提什麼…，所以才會上來發問…，想藉此偷學前輩們的經驗…。

kyokk

iT邦新手 4 級 ‧ 2021-07-21 10:53:18

看你的登入類型是3參考一下https://docs.microsoft.com/zh-tw/windows/security/threat-protection/auditing/event-4625

如果要知道從那邊連，要開NETLOGON DEBUG來看，可以參考下面這連結
https://docs.microsoft.com/zh-tw/troubleshoot/windows-client/windows-security/enable-debug-logging-netlogon-service
4625 LOGON TYPE
登入類型登入標題描述
2 互動使用者登入此電腦。
3 網路從網路登入此電腦的使用者或電腦。