我们正在收集所有端点日志(最终用户计算机)和域控制器日志到SIEM,并且我总是看到活动用户显示为已禁用。请找到其中一个日志条目(出于安全原因将重要字段屏蔽)。
{“ timestamp”:“”,“ destination_asset”:“未知”,“ source_asset_address”:“ 10.xxx”,“ destination_asset_address”:“ 10.xxx”,“ destination_account”:“ xxxxx”,“ destination_domain” :“ xyz.abc”,“结果”:“ FAILED_ACCOUNT_DISABLED”,“服务”:“ krbtgt / xxxxx”,“ source_data”:“ {\” eventCode \“:4768,\” computerName \“:\” xxxx.xxxx .xxxx \“,\” inserttionStrings \“:[\” xxxx \“,\” xxxx.xxxx \“,\” S-1-0-0 \“,\” krbtgt / xxxxx \“,\” S- 1-0-0 \“,\” 0x40810010 \“,\” 0x12 \“,\” 0xffffffff \“,\”-\“,\” :: ffff:10.xxx.xxx.xxx \“,\” 55709 \“,\” \“,\” \“,\” \“],\” timeGenerated \“:\” \“}”}
任何人都不知道为什么抛出此错误消息?
查看了Microsoft博客,并在下面找到了信息。博客说这不是kerberos错误,但从未提及是否为错误
https://blogs.technet.microsoft.com/askds/2008/03/06/kerberos-for-the-busy-admin/
注意:我会提醒您启用此功能。您会看到一些不是Kerberos错误的事件,例如0x12 KDC_ERR_CLIENT_REVOKED,0xD KDC_ERR_BADOPTION或0x34 KRB_ERR_RESPONSE_TOO_BIG。在某些情况下,客户从以前的案例中启用了此功能,而从未关闭过它。由于他们现在对所有Kerberos错误敏感,因此他们打开了一个新案例,只是因为事件不是真正的错误而被要求关闭日志记录。