¿Cuáles son los beneficios de registrar el nombre de usuario de un intento de autenticación fallido?

La razón por la que inicia sesión fallida en los intentos de inicio de sesión en las cuentas es para determinar si están bajo ataque de fuerza bruta. Si la cuenta es lo suficientemente sensible, entonces podría considerar colocar protecciones adicionales para esa cuenta.

Tenga en cuenta que los ataques de fuerza bruta no tienen que ocurrir todos a la vez y luego detenerse. El atacante inteligente intentará 4 intentos, luego esperará 15 minutos y luego intentará nuevamente.

Si no registra el nombre de la cuenta, entonces no sabría que esto estaba sucediendo.

¿Por qué los intentos de autenticación de registro, si todo lo que te estás dando para trabajar es una marca de tiempo, dirección IP y código de respuesta? Eso no le proporciona ninguna información procesable, a menos que solo esté preocupado por implementar las prohibiciones de IP después de varios intentos fallidos y no tenga interés en la respuesta o remediación de incidentes.

  

¿Es útil o seguro?

Si un usuario escribe su contraseña en el campo de nombre de usuario, realmente no es muy diferente a revelarla accidentalmente en cualquier otro campo. Pueden (y lo hacen) pegarlo accidentalmente en una ventana de chat o en la barra de direcciones (aparece en los registros de DNS) después de obtenerlo de su administrador de contraseñas. No podemos eliminar el registro por completo solo porque los usuarios cometen errores que podrían revelar su contraseña.

Cuando veo las contraseñas registradas en el campo de nombre de usuario, simplemente me dirijo a esos usuarios y les digo que su contraseña fue revelada y comenzará a propagarse en todos los sistemas y bases de datos, por lo que deben cambiarla de inmediato para evitar un posible compromiso. Cometieron el error, por lo que es para que lo corrijan, no para que reconsidere el mérito de nuestra infraestructura de registro.

  

¿Sus otros beneficios son el registro del nombre de usuario de un intento de autenticación fallido?

Si no está registrando nombres de usuario, ¿cómo sabe si alguien está enumerando todas las cuentas en su AD, o simplemente está apuntando fuertemente a un usuario?

Sin nombres de usuario, ¿cómo puede saber si el atacante está adivinando al azar las cuentas de inventario (raíz, administrador, etc.) o si está apuntando a personas sensibles (ejecutivos, clientes de I + D, etc.)?

Si ve una serie de fallos seguidos por uno o más éxitos, es seguro asumir que un usuario se vio comprometido. Su jefe está bajo fuego y exige respuestas. Dígame qué usuario (s) se vio comprometido, now!

Toma todos tus registros y enmascara el nombre de usuario de todos ellos. Elige un evento y asume que es un indicador de compromiso. Además, suponga que se encuentra en un entorno corporativo desordenado que tiene una NAT en el infierno y confunde la dirección IP en cada paso. Ahora dime cómo este actor podría haberse movido lateralmente dentro de tu red, comenzando con ese evento.

El registro en los sistemas a menudo es incompleto, y las empresas generan una tonelada de eventos simultáneos, por lo que la correlación de marcas de tiempo no siempre es una opción. Registramos los detalles, como muchos de ellos como sea posible, por una razón, pero si no está registrando algo tan crítico como los nombres de usuario en los intentos fallidos de autenticación (literalmente el registro de quién está causando problemas en la puerta de su casa), está cegando usted mismo en beneficio de sus usuarios más incompetentes.

Creo que quieres saber qué usuarios están bajo ataque.

Pero para esto, no necesariamente tiene que registrar la entrada de nombre de usuario original. Sería suficiente registrar un hash del nombre de usuario y compararlo con los hashes de todos los nombres de usuario conocidos.