Servidor kaspersky security center 14.2 recibe intentos de autenticación

[Javito]

Estimada Comunidad, junto con saludar quisiera saber a que se debe que mi servidor kaspersky security center 14.2 en windows, tengo instalado un HIDS llamado ossec y ha detectado intentos de logeo desde equipos con el agente de kaspersky instalado, desde una red lan, por lo tanto el hids lo considera un ataque de fuerza bruta, cabe señalar que el servidor se encuentra dentro de una lan y no está con ip pública.

adjunto un log de ejemplo

RAW LOG

AV - Alert - "1719424735" --> RID: "18130"; RL: "5"; RG: "windows,win_authentication_failed,"; RC: "Logon Failure - Unknown user or bad
password."; USER: "-  Account Domain:  -  Logon ID:  0x0  Logon Type:   3  Account For Which Logon Failed:  Security ID:  S-1-0-0  Account Name:
 carmen.xxx "; SRCIP: "172.17.x.x"; HOSTNAME: "(Host-172-17-x-x) 172.17.46.2->WinEvtLog"; LOCATION: "(Host-172-17-x-x)
172.17.x.x->WinEvtLog"; EVENT: "[INIT]2024 Jun 26 13:58:51 WinEvtLog: Security: AUDIT_FAILURE(4625): Microsoft-Windows-Security-Auditing: (no
user): no domain: DESKTOP-G5H659V: An account failed to log on. Subject:  Security ID:  S-1-0-0  Account Name:  -  Account Domain:  -  Logon ID:
 0x0  Logon Type:   3  Account For Which Logon Failed:  Security ID:  S-1-0-0  Account Name:  carmen.xxxx  Account Domain:  .  Failure
Information:  Failure Reason:  %%2313  Status:   0xc000006d  Sub Status:  0xc0000064  Process Information:  Caller Process ID: 0x0  Caller
Process Name: -  Network Information:  Workstation Name: PE1-Sxxx  Source Network Address: 172.17.x.x  Source Port:  52547  Detailed
Authentication Information:  Logon Process:  NtLmSsp   Authentication Package: NTLM  Transited Services: -  Package Name (NTLM only): -  Key
Length:  0  This event is generated when a logon request fails. It is generated on the computer where access was attempted.[END]"; 

 

Agradeciendo su respuesta y/o ayuda

 

Saludos

 

 

[Vimaro]

Gracias por su mensaje,

Revise la directiva del producto de protección Kaspersky usado en su Servidor de Administración Central, concretamente si tiene los módulos activados de Firewall, Prevención de Intrusos, y todos aquellos del componente inicial Protección Avanzda ante Amenazas;

Es importante que, en ese servidor, se establezca no solo una contraseña segura sino que active adicionalmente el doble factor de autenticación en el Kaspersky Security Center para todos los usuarios que accedan a la interfaz central de gestión (Más detalles: https://support.kaspersky.com/KSC/14.2/es-ES/212969.htm);

Adicionalmente, solo si el módulo de Prevención de Intrusos está previamente activado, puede usted crear un informe denominado "Ataques de Red". Dicho informe, podría indicarle de donde provienen los ataques de fuerza bruta para que tome las medidas pertinentes.

Dependiendo de su región, puede también contactar a su Gerente Preventa Kaspersky para solicitar la valoración inicial (Triage) correspondiente de forma inicial al servicio Respuesta a Incidentes, sin costo alguno.