ID de evento de Windows 4724: se intentó restablecer la contraseña de una cuenta
Introducción
El ID de evento 4724 se genera cada vez que una cuenta intenta restablecer la contraseña de otra cuenta (tanto de usuario como de equipo).
Nota: El ID de evento 4723 se registra cada vez que un usuario intenta cambiar su propia contraseña. (Consulte la información detallada)
Si la nueva contraseña no cumple con la directiva de contraseñas del dominio (o la directiva de contraseñas local en las cuentas de usuario locales), se registra un evento de error.
No se genera ningún evento cuando se intenta con una cuenta de usuario que no tiene permiso para hacerlo.
Descripción de los campos de eventos.
Asunto: La cuenta que intentó restablecer la contraseña de la cuenta de destino.
ID de seguridad: El SID de la cuenta que intentó restablecer la contraseña de la cuenta de destino.
Nombre de cuenta: El nombre de la cuenta que intentó restablecer la contraseña de la cuenta de destino
Dominio de cuenta: El dominio del asunto o el nombre del equipo. Los formatos pueden variar para incluir el nombre NETBIOS, el nombre de dominio completo en minúsculas o el nombre de dominio completo en mayúsculas.
Para entidades de seguridad conocidas, este campo es "NT AUTHORITY", y para cuentas de usuarios locales, este campo contendrá el nombre del equipo al que pertenece esta cuenta.
ID de Inicio de sesión: El ID de inicio de sesión le ayuda a correlacionar este evento con eventos recientes que pueden contener el mismo ID de inicio de sesión (p. ej. ID de evento 4624).
Cuenta de destino: La cuenta para la que se solicitó el restablecimiento de contraseña.
ID de seguridad: El SID de la cuenta para la que se solicitó el restablecimiento de contraseña.
Nombre de cuenta: El nombre de la cuenta para la que se solicitó el restablecimiento de contraseña.
Dominio de cuenta:El dominio de la cuenta de destino o el nombre del equipo. Los formatos pueden variar para incluir el nombre NETBIOS, el nombre de dominio completo en minúsculas o el nombre de dominio completo en mayúsculas.
Para entidades de seguridad conocidas, este campo es "NT AUTHORITY", y para cuentas de usuarios locales, este campo contendrá el nombre del equipo al que pertenece esta cuenta.
Monitorización del ID de evento 4724.
- Administradores fraudulentos que intentan restablecer contraseñas para obtener acceso a recursos confidenciales a los que normalmente no tienen acceso.
- Cuentas que tienen un ID de seguridad que corresponde a cuentas de alto valor, incluidos administradores, administradores locales integrados, administradores de dominio y cuentas de servicio.
- Cuentas que tienen que ser monitorizadas para cada cambio. Esta lista puede variar entre empresas e industrias.
- Cuentas locales, porque sus contraseñas no suelen cambiar con frecuencia, y esto podría servir como indicador de actividad maliciosa.
La necesidad de una solución de auditoría.
Las soluciones de auditoría como ADAudit Plus ofrecen monitorización en tiempo real, análisis e informes de comportamiento de usuarios y entidades; juntas, estas características ayudan a proteger su entorno de AD.
Monitorización continua en tiempo real.
Aunque puede adjuntar una tarea al registro de seguridad y pedirle a Windows que le envíe un correo electrónico, está limitado a simplemente recibir un correo electrónico cada vez que se genera el ID de evento 4724. Windows también carece de la capacidad de aplicar los filtros más pormenorizados que se requieren para cumplir con las recomendaciones de seguridad.
Con una herramienta como ADAudit Plus, no solo puede aplicar filtros pormenorizados para centrarse en amenazas reales, sino que también puede recibir notificaciones en tiempo real a través de SMS.
Análisis del comportamiento de usuarios y entidades (UEBA).
Saque provecho de técnicas avanzadas de análisis estadístico y aprendizaje automático para detectar comportamientos anómalos dentro de la red.
Informes de cumplimiento normativo.
Cumpla con diversos requisitos normativos, tales como SOX, HIPAA, PCI, FISMA, GLBA y el reglamento RGPD, mediante informes de cumplimiento normativo listos para usar.
Auténtico uso inmediato: no hay nada más simple que esto.
Pase de descargar ADAudit Plus a recibir alertas en tiempo real en menos de 30 minutos. Con más de 200 informes y alertas preconfigurados, ADAudit Plus garantiza que su Active Directory se mantenga seguro y en cumplimiento..