Se detectó un ataque de reproducción (4649) y Exchange Healthmailbox

0

Hemos recibido alarmas por esto en nuestro SIEM hoy. Creo que se espera y solo "ruido". La alarma se activó inmediatamente después de que Exchange borró el ThrottlingConfig.log.

Sé que Exchange Server 2013 CU5, CU5 incluye una configuración de sonda de disponibilidad administrada que frecuentemente reinicia el servicio de caché compartido de Microsoft Exchange en algunos entornos. El servicio se está agregando para proporcionar mejoras futuras de rendimiento y no se usa en la Actualización acumulativa 5. Más información está disponible en KB2971467

Por lo tanto, parece que este evento activado por alarma es un falso positivo. ¿Alguien más experimenta esto?

  

enlace

    
pregunta Lee 21.09.2018 - 16:01
fuente

1 respuesta

0

Un elemento a verificar es si un resultado es falso positivo. La parte final del registro indica una advertencia de los resultados:

This event indicates that a Kerberos replay attack was detected
- a request was received twice with identical information.
This condition could be caused by network misconfiguration.

Los documentos de ayuda de Microsoft en enlace también recomiendan realizar una investigación manual como parte de la verificación para ver si se trata de un falso positivo.

He realizado escaneos que terminaron con falsos positivos y necesitaron verificaciones adicionales.

    
respondido por el NASAhorse 25.09.2018 - 23:19
fuente

Lea otras preguntas en las etiquetas