UBA : TGT PAC 偽造の可能性
QRadar® User Entity Behavior Analytics (UEBA) アプリケーションは、特定の動作異常のルールに基づいてユース・ケースをサポートします。
UBA : TGT PAC 偽造の可能性
デフォルトで有効
いいえ
デフォルトの senseValue
10
説明
Kerberos TGS からサービス・チケットを取得するために偽造 PAC 証明書が使用されたことを検出します。
サポート・ルール
- BB:UBA : 共通のイベント・フィルター (BB:UBA : Common Event Filters)
- BB:UBA : TCT PAC 偽造パッチ適用済みサーバー (BB:UBA : TCT PAC Forgery Patched Server)
- BB:UBA : TCT PAC 偽造パッチ未適用サーバー (BB:UBA : TCT PAC Forgery Unpatched Server)
必須の構成
リファレンス・セット「UBA : ドメイン・コントローラー管理者 (UBA : Domain Controller Administrators)」に適切な値を追加します。
ログ・ソース・タイプ
Microsoft Windows セキュリティー・イベント・ログ (イベント ID: 4672、4769)