UBA : TGT 偽造の可能性
QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。
UBA : TGT 偽造の可能性
デフォルトで有効
いいえ
デフォルトの senseValue
15
説明
ドメイン名の異常が含まれている Kerberos TGT を検出します。 これは、Pass the Ticket エクスプロイトを使用して生成されたチケットを示している可能性があります。
サポート・ルール
BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)
必須の構成
リファレンス・セット「UBA : 信頼されたドメイン (UBA : Trusted Domains)」に適切な値を追加します。
ログ・ソース・タイプ
Microsoft Windows セキュリティー・イベント・ログ (イベント ID: 4768)