WL-006 Windows Security 4662 Direction Service Access
주요 필드
| 필드 | 의미 | 예시 |
|---|
| winlog.event_id | Windows 보안 이벤트 식별자 (Kerberos 서비스 티켓 요청 이벤트의 경우 값은 4769) | 4662 |
| winlog.computer_name | 이벤트가 발생한 대상 호스트(PC 또는 서버)의 컴퓨터 이름 | DC01.mycompany.local |
| winlog.event_data.SubjectUserName | AD 개체에 접근 및 작업을 시도한 주체(사용자 또는 컴퓨터)의 계정명 | admin_user |
| winlog.event_data.SubjectLogonId | 행위를 수행한 주체 계정의 고유 로그온 세션 ID | 0x1ed3c1 |
| winlog.event_data.AccessMask | 해당 개체에 요청하거나 부여된 권한의 비트마스크 값 (예: 특수 액세스 권한 등) | 0x100 |
| winlog.event_data.Properties | 작업이 수행된 구체적인 AD 스키마 클래스 또는 확장 권한의 고유 식별자(GUID) 속성 | %%7688\n\t\t{1131f6ad-9c07-11d1-f79f-00c04fc2dcd2}\n\t{19195a5b-6da0-11d0-afd3-00c04fd930c9} |
커버하는 Techniques Used
탐지 포인트
| Technique | 관찰할 행위 | 주요 필드 |
|---|
| T1003.006 - OS Credential Dumping: DCSync | 도메인 컨트롤러(DC01) 상에서 정상적인 시스템/컴퓨터 동기화 계정(이름 끝에 $가 붙는 형태)이 아닌, 일반 사용자 계정이 AD 데이터 복제 및 자격 증명 요청에 필수적인 특수 스키마 GUID(1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)를 호출하는 행위 집중 감시 | winlog.event_id, winlog.computer_name, winlog.event_data.SubjectUserName, winlog.event_data.SubjectLogonId, winlog.event_data.AccessMask, winlog.event_data.Properties |
ELK Query 예시
host.name:"DC01.mycompany.local"
AND event.code:"4662"
AND winlog.event_data.Properties:*1131f6ad-9c07-11d1-f79f-00c04fc2dcd2*
AND NOT winlog.event_data.SubjectUserName:*$*
