none
Eventi di sicurezza e SIEM RRS feed

  • Domanda

  • Buongiorno a tutti,

    questo è il primo messaggio che posto su questo Forum: premetto che ho navigato in cerca di risposte alla domanda che sto per porre, ma non ho trovato "soluzioni dirette", quindi chiedo scusa per l'eventuale ridondanza dell'argomento, mi affido a voi.

    Nell'ultimo periodo come operatore SIEM, lavoro sul monitoraggio di un dominio AD.

    Il problema ricorrente che mi viene posto è quello di utenze bloccate in AD a causa di password sbagliate: la dinamica più o meno è sempre la stessa, ovvero credenziali memorizzate su vari dispositivi e poi sostituite alla scadenza solo su alcuni, mentre gli altri tentano una login causando il blocco dell'account.
    L'esigenza che avrei allora è quella di risalire all'indirizzo IP del dispositivo che ha tentato l'autenticazione, essendo l'hostname poco significativo.

    Da una ricerca sul web, ho capito che l'unico security event con un simile livello di dettaglio, è quello 4625, che riporta la "Workstation name" ma anche la " Source Network Address ", e non semplicemente l'IP del domain controller, a mio avviso inutile.
    Altri eventi di sicurezza come il 4776 non sono completi, proprio perchè non forniscono l'indirizzo IP della macchina che cerca di autenticarsi.

    Vengo al punto: ho notato che questa tipologia di evento non sempre è correttamente " compilata " in tutti i campi, nel senso che spesso non riporta quell'indirizzo IP a parità di DC, dove so che l'evento viene generato, mentre in altri casi si.
    Quel che vorrei capire è in quali casi è garantita di norma questa completezza di informazioni, ovvero se magari non è possibile averla autenticandosi in qualche maniera tramite dispositivi mobili personali anziché tramite workstation aziendali, o che..

    Non credo possa essere un problema a livello di GPO di Audit sul domain controller, visto che in certi casi sono prodotti correttamente, ma potrei sbagliarmi visto che non sono così esperto.

    Potreste aiutarmi?

    Grazie ed un saluto a tutti

    venerdì 26 aprile 2019 06:26

Risposte