Der AD Security Überprüfung Sensor stellt sicher, dass keine kritischen Zugriffe auf den Domain-Controller erfolgen. 

Alarme werden bei den Kerberos/BruteForce Prüfungen pro Source gesammelt. Das bedeutet der Schwellwert richtet sich pro Source. Gibt es von einer Quelle also mehr als xxx fehlerhaften Anmeldungen, generiert dies 1 Alarmeintrag. 


Dabei führt der Sensor folgende verschiedene Prüfungen durch:


KerberosAttackDetection

Über 35 falsche passive Anmeldungen innerhalb von 15 Minuten erzeugen einen Alarm.


Eine passive Anmeldung über Kerberos bezeichnet einen Authentifizierungsprozess, bei dem Benutzer nicht aktiv ihre Anmeldedaten eingeben müssen. Stattdessen wird ein Authentifizierungsticket automatisch verwendet, um den Benutzer zu identifizieren und Zugriff zu gewähren. Dies geschieht oft im Hintergrund, beispielsweise wenn ein Benutzer in einer Domäne arbeitet, die von Kerberos verwaltet wird.


KerberoastingDetection

Über 35 falsche passive Anmeldungen innerhalb von 15 Minuten erzeugen einen Alarm.


Es wird eine veraltete Verschlüsselung verwendet: RC4-HMAC.

Diese Verschlüsselungsmethode ist anfällig und kann relativ einfach entschlüsselt werden.


Hier können Tools helfen, wie beispielweise IIS Crypto oder Anleitungen wie diese.


BruteForceUserDetection

Über 50 falsche Anmeldungen innerhalb von 15 Minuten.


AdminNetworkShareDetection

Über 20 falsche passive Anmeldungen innerhalb von 15 Minuten erzeugen einen Alarm.


Es wurde auf persönliche oder sensible Ordner über die Administratorfreigabe zugegriffen innerhalb von 10 Minuten.

Aktuell sind folgende Ordner "überwacht".

  • "Users"
  • "Windows\Boot“
  • "Windows\Start Menu\Programs\Startup"
  • "ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
  • "ProgramData\MySQL\"
  • "Windows\System32\"


Einstellungsoptionen

  • geschützte Verzeichnisse ( Zum Erweitern welche Verzeichnisse überwacht werden sollen )
  • Schwellwert Brute Force Alarme ( Die Anzahl Ereignisse pro Zeitintervall, aktuell 15 Minuten, die ein Alarm auslösen)
  • Schwellwert Kerberoasting Alarme ( Die Anzahl Ereignisse pro Zeitintervall, aktuell 15 Minuten, die ein Alarm auslösen)
  • Schwellwert Kerberos Angriff Alarme ( Die Anzahl Ereignisse pro Zeitintervall, aktuell 15 Minuten, die ein Alarm auslösen)
  • Schwellwert Admin Freigabe Alarme ( Die Anzahl Ereignisse pro Zeitintervall, aktuell 15 Minuten, die ein Alarm auslösen)