What are the best practices for monitoring Event ID 4768 to improve security?

Некоторые рекомендации по мониторингу Event ID 4768 для улучшения безопасности:

• Следить за высокоценными учётными записями. learn.microsoft.com К ним относятся, например, администраторы баз данных, встроенные локальные администраторы, администраторы домена, учётные записи сервисов и контроллеров домена. learn.microsoft.com Нужно отслеживать это событие с помощью ID пользователя, соответствующего высокоценной учётной записи. learn.microsoft.com
• Выявлять аномалии или вредоносные действия. learn.microsoft.com Например, можно контролировать использование учётной записи вне рабочих часов. learn.microsoft.com
• Отслеживать поле «Адрес клиента». learn.microsoft.com www.manageengine.com Это поможет отслеживать попытки входа, которые находятся за пределами внутреннего диапазона IP-адресов. www.manageengine.com
• Следить за кодом результата. www.manageengine.com Если он равен 0x6 (имя пользователя не существует), это может быть признаком перечисления учётных записей, обратного брутфорса или атак с использованием паролей, особенно для критически важных учётных записей. www.manageengine.com
• Контролировать поле «Адрес клиента». www.manageengine.com Если имя пользователя должно использоваться только с определённого списка IP-адресов, можно отслеживать значения этого поля и генерировать предупреждение, если адрес клиента не входит в разрешённый список. learn.microsoft.com www.manageengine.com

Event ID 4768 сам по себе не указывает на проблему, но может служить маркером для проблем, связанных с сбоями аутентификации, неправильно настроенными сервисами и даже потенциальными нарушениями безопасности. umatechnology.org