我正在使用事件 4769(请求了 Kerberos 服务票证)来检测 Kerberoasting,方法是尝试查找在短时间内为多个服务请求多个 TGS 票证的用户。可以在“帐户”字段中找到用户,但此字段并非在每个事件中都存在。文档确实提到这个字段是可选的,但我仍然不清楚这个字段缺失意味着什么。
答案1
是的,根据文档,4769 Kerberos 服务票证请求事件上的帐户名称(又名 TargetUserName)字段是可选的,有时可能为空。
话虽如此,我检查了我的 AD 环境,只有在发生审计失败事件时才会看到该字段为空。缺少帐户名称信息的事件的状态代码包括 KRB_AP_ERR_TKT_EXPIRED(票证已过期)、KRB_AP_ERR_BAD_INTEGRITY(解密字段的完整性检查失败)和 KRB_AP_ERR_SKEW(时钟偏差太大)。
对于 Kerberoasting 检测,你只需要关注成功事件。而我更关注票证请求的源 IP 地址。
您可能需要考虑在您的域中设置一个蜜罐帐户,并在其中注册一个虚假的 SPN,并针对该特定 SPN 的任何服务票证请求发出警报。 有关这方面的更多详细信息,请参阅广告安全网。这种技术非常强大,因为典型的 Kerberoasting 攻击将涉及所有注册了 SPN 的用户帐户的请求。