ESCU Alert - Rapid Authentication Analysis

چرا این هشدار صادر می‌شود؟

این قانون زمانی فعال می‌شود که یک حساب کاربری در بازه زمانی کوتاه (۵ دقیقه) به بیش از ۳۰ میزبان (کامپیوتر) مختلف با موفقیت لاگین کند (Logon Type 3 - Network Logon). این رفتار معمولاً نشان‌دهنده **حرکت جانبی (Lateral Movement)**، انتشار بدافزار (Worm-like behavior) یا استفاده از ابزارهای خودکار برای جمع‌آوری اطلاعات (مانند BloodHound) است.

Event ID: 4624 (Successful Logon)
Logon Type: 3 (Network)
Threshold: > 30 Unique Hosts / 5 Min
Technique: Lateral Movement (T1021)

در شبکه‌های عادی، کاربران به ندرت در عرض چند دقیقه به ده‌ها سرور یا کلاینت مختلف متصل می‌شوند، مگر اینکه یک فرآیند خودکار در حال اجرا باشد.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

انتشار باج‌افزار: باج‌افزارهایی مانند WannaCry که سعی می‌کنند خود را به سرعت در شبکه پخش کنند (SMB Spreading).
حرکت جانبی خودکار: استفاده از اعتبارنامه‌های سرقتی برای اتصال به اشتراک‌های فایل (Admin$, C$) در سطح وسیع جهت اجرای کد.
جمع‌آوری اطلاعات (Recon): ابزارهایی که برای نقشه‌برداری از شبکه به تمام سیستم‌ها متصل می‌شوند (مانند SharpHound).

سناریوهای متوسط

اسکنرهای آسیب‌پذیری: اسکنرهای احراز هویت شده (Authenticated Scanners) مانند Nessus که با حساب کاربری به سیستم‌ها لاگین می‌کنند.
اسکریپت‌های ادمین: اجرای اسکریپت‌های مدیریتی برای جمع‌آوری اطلاعات یا نصب پچ روی کلاینت‌ها (اگر از حساب سرویس استفاده نشود).

سناریوهای کم‌خطر (مثبت کاذب)

حساب‌های سرویس: ابزارهای مانیتورینگ یا بکاپ که به طور طبیعی با صدها سیستم در ارتباط هستند (باید در لیست سفید قرار گیرند).
دامین کنترلرها: فعالیت‌های همگام‌سازی و رپلیکیشن بین DCها.

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: اگر نام کاربری (TargetUserName) یک کاربر عادی (انسان) باشد و در عرض چند دقیقه به ده‌ها سیستم متصل شود، حساب کاربری احتمالاً لو رفته است.

نوع حساب کاربری: آیا حساب کاربری یک Service Account است یا User Account؟ فعالیت‌های انبوه برای کاربران عادی غیرطبیعی است.
منبع حمله (src): آی‌پی منبع چیست؟ آیا یک ایستگاه کاری معمولی است یا سرور مدیریت؟
زمان وقوع: آیا این فعالیت در ساعات کاری رخ داده است یا در نیمه‌شب؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Windows Security Event Log
EventCode 4624 (Successful Logon)

دیتامدل‌های مورد استفاده

Wineventlog_Security

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های امنیتی ویندوز، این فیلدها حیاتی هستند:

TargetUserName (Account)

IpAddress (Source)

Computer (Destination)

unique_targets

LogonType (3)