UBA: possível falsificação de TGT PAC

O aplicativo QRadar® User Entity Behavior Analytics (UEBA) suporta casos de uso baseados em regras para determinadas anomalias comportamentais.

UBA: possível falsificação de TGT PAC

Ativado por Padrão

Não

senseValue padrão

22

Descrição

Detecta o uso de um certificado PAC falsificado para obter um ticket de serviço do Kerberos TGS.

Regras de suporte

  • BB:UBA: Filtros de Eventos Comuns
  • BB:UBA: Falsificação de TCT PAC do Servidor Corrigida
  • BB:UBA: Falsificação de TCT PAC do Servidor Não Corrigida

Configuração Necessária

Inclua os valores apropriados no conjunto de referência a seguir: "UBA: Administradores do Controlador de Domínio".

Tipos de origem de log

Log de eventos de segurança do Microsoft Windows (ID de evento: 4672, 4769)