Actualmente estoy revisando algunos registros en un nuevo SIEM. Actualmente alerta sobre una secuencia de Kerberos especificada que indica un bloqueo de usuario.
Lo que estoy tratando de entender es por qué no veo el origen de un bloqueo de evento en mis windowseventlogs .
Puedo identificar el nombre de usuario del bloqueo buscando el resultado del enlace de Kerberos como se muestra arriba, pero no puedo ver el host src en el que se produjo el bloqueo.
Si veo los registros del controlador de dominio, puedo ver ganar el evento del controlador de dominio 4776 mostrando el nombre del host para que a partir de ahí pueda hacer alguna correlación entre los eventos de Kerberos y Win DC para encontrar el host.
¿Me estoy acercando a esto de la manera correcta?
¿Hay otros códigos de evento que deba buscar para identificar el host en el que se produjo el bloqueo?
También tengo un problema similar con los registros de AD. El nombre del equipo host / fuente muestra un controlador de dominio para el evento de bloqueo, no el host en el que ocurrió el evento.