Jump to content
Galivut

Непонятное событие: подозрительная сетевая активность

Recommended Posts

Здравствуйте. Касперский выдал событие:

Спойлер

 

Предупреждение Событие "Обнаружена подозрительная сетевая активность" произошло на устройстве DC1 в Windows-домене MAIN 15 марта 2019 г. 14:26:43 (GMT+03:00)

Тип события:     Обнаружена подозрительная сетевая активность

Программа\Название:     Kaspersky Endpoint Security для Windows

Пользователь:     MAIN\root (Активный пользователь)

Компонент:     Защита

Объект:     localhost

Объект\Название:     localhost

Причина:     Количество попыток ввода пароля и имени пользователя MAIN\DC1$ превысило 30 за 2 минуты в период с 15.03.2019 14:11:42 по 15.03.2019 14:26:42.

Задача - Защита

 

Помогите с им разобраться.

DC1 - это домен-контроллер. Локально на нем работают под учеткой root. На домен-контроллере поднят домен MAIN.

Исходя из описанного в событии получается, что идет подбор паролей для входа в учетную запись MAIN\DC1$. Но в домене такой учетной записи нет.

Перелопатили весь журнал событий на домен-контроллере, нет там событий с учетной записью MAIN\DC1$. И нет событий из под учетной записи MAIN\root.

Непонятно откуда Касперский формирует такое событие

Нашли несколько десятков событий (с маленьким промежутком, как раз подходит по времени под описание) такого вида:

Спойлер

 

Вход с учетной записью выполнен успешно.

Субъект:
    ИД безопасности:        система
    Имя учетной записи:        DC1$
    Домен учетной записи:        MAIN
    Код входа:        0x3e7

Тип входа:            3

Новый вход:
    ИД безопасности:        MAIN\openfire
    Имя учетной записи:        openfire
    Домен учетной записи:        MAIN
    Код входа:        0x276d076
    GUID входа:        {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
    Идентификатор процесса:        0x298
    Имя процесса:        C:\Windows\System32\lsass.exe

Сведения о сети:
    Имя рабочей станции:    DC1
    Сетевой адрес источника:    192.168.100.38
    Порт источника:        53903

Сведения о проверке подлинности:
    Процесс входа:        Advapi  
    Пакет проверки подлинности:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

 

Здесь, видимо, из под учетки MAIN\openfire запрашивается доступ к системным службам сервера DC1.

Но Касперский считает, что это попытки входа под учеткой MAIN\DC1$. Возможна ли такая ошибка?

 

Share this post


Link to post

Здравствуйте!

Укажите пожалуйста используемые версии наших продуктов.

Спасибо!

Share this post


Link to post

Операционная система: Microsoft Windows Server 2008 R2

Версия Агента администрирования: 10.5.1781

Версия программы защиты: 11.0.0.6499

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, в какие моменты появляются данные сообщения? 

Спасибо!

Share this post


Link to post

Сообщение выходило в пятницу 15.03.2018 всего 4 раза за день.

В эти моменты ничего особенного не было. На самом домен-контроллере никакой активности не происходило. С клиентских компьютеров происходило подключение к серверу jabber с использованием автоматической доменной аутентификации. Если срабатывания антивируса происходили на эти события, то вопрос почему в сообщении отображается некорректно имя учетной записи.

Share this post


Link to post

Есть ли возможность обновить один из проблемных хостов до последней версии и проверить воспроизведение?

Спасибо!

Share this post


Link to post

Нет, т.к. проблемных хостов нет. Событие зафиксировано на домен-контроллере.

Что имеется ввиду под "обновить хост"? Установить последнюю версию программы защиты?

Воспроизведение тоже проверить проблематично, т.к. вызвать это специально мы не сможем, т.к. не определены причины срабатывания.

Share this post


Link to post

Здравствуйте!

Да, иеется в виду устновиьт наиболее актуальное ПО.

Спасибо!

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.