4649(S) リプレイ攻撃が検出されました。

4649(S): リプレイ攻撃が検出されました。

このイベントは、KRB_AP_ERR_REPEAT Kerberos 応答がクライアントに送信されたときにドメイン コントローラーで生成されます。

ドメイン コントローラーは、最近受信したチケットの情報をキャッシュします。サーバー名、クライアント名、時刻、および Authenticator のマイクロ秒フィールドがキャッシュ内の最近見たエントリと一致する場合、KRB_AP_ERR_REPEAT を返します。詳細は RFC-1510 を参照してください。この原因の一つとして、クライアントとサーバー間のネットワーク デバイスが誤って構成され、同じパケットが繰り返し送信されることが考えられます。

このドキュメントには、このイベントの例はありません。

サブカテゴリ: その他のログオン/ログオフ イベントの監査

イベント スキーマ:

リプレイ攻撃が検出されました。

サブジェクト:

セキュリティ ID:%1

アカウント名:%2

アカウント ドメイン:%3

ログオン ID:%4

リプレイされた資格情報:

アカウント名:%5

アカウント ドメイン:%6

プロセス情報:

プロセス ID:%12

プロセス名:%13

ネットワーク情報:

ワークステーション名:%10

詳細な認証情報:

要求タイプ:%7

ログオン プロセス:%8

認証パッケージ:%9

通過サービス:%11

このイベントは、Kerberos リプレイ攻撃が検出されたことを示します。つまり、同一の情報を持つ要求が2回受信されました。この状態はネットワークの誤設定によって引き起こされる可能性があります。

必要なサーバー ロール: Active Directory ドメイン コントローラー。

最小 OS バージョン: Windows Server 2008。

イベント バージョン: 0。

セキュリティ監視の推奨事項

4649(S): リプレイ攻撃が検出されました。

• このイベントは、Kerberosリプレイ攻撃の兆候であるか、その他のネットワークデバイスの設定やルーティングの問題を示している可能性があります。どちらの場合でも、アラートをトリガーし、イベントが生成された理由を調査することをお勧めします。