La ID de evento 4625 (vista en el visor de eventos de Windows) documenta todo intento fallido de inicio de sesión en un equipo local. Este evento se genera en un equipo desde donde se intentó iniciar sesión. Una acción relacionada, ID de evento 4624 documenta los intentos exitososde inicio de sesión.
El evento 4625 aplica a los siguientes sistemas operativos: Windows Server 2008 R2 y Windows 7, Windows Server 2012 R2 y Windows 8.1, y Windows Server 2016 Windows 10. Eventos correspondientes en Windows Server 2003 y anteriores incluyen 529, 530, 531, 532, 533, 534, 535, 536, 537 y 539 para inicios de sesión fallidos.
La ID de evento 4625 luce un poco distinta en Windows Server 2008, 2012 y 2016. En las siguientes capturas de pantalla se han resaltado los campos importantes en cada una de las versiones.
Evento 4625 (Windows 2008)
Evento 4625 (Windows 2012)
Evento 4625 (Windows 2016)
La información importante que se puede derivar del Evento 4625 incluye:
Se puede obtener otra información del Evento 4625:
Seguridad
Para detectar ataques de fuerza bruta, de diccionario y otro tipo de irrupciones para adivinar la contraseña, que se caracterizan por un aumento súbito de inicios de sesión fallidos.
Para detectar actividad interna anómala y posiblemente maliciosa, como un intento de inicio de sesión desde una cuenta deshabilitada o una estación de trabajo no autorizada, inicios de sesión de usuarios fuera de las horas laborales normales, etc.
Operativo
Para conseguir una referencia para la configuración de la Política de umbrales para bloqueo de cuentas, que determina el número de intentos fallidos de inicio de sesión antes de que se bloquee la cuenta de un usuario.
Cumplimiento
Para cumplir con las normativas regulatorias se necesita información precisa con respecto a los inicios de sesión fallidos.
En un entorno típico de TI, el número de eventos con ID 4625 (inicios de sesión fallidos) puede discurrir en miles por día. Los inicios de sesión fallidos son útiles en sí, pero se puede obtener mejor información sobre la actividad de la red a partir de conexiones claras entre ellos y otras acciones pertinentes.
Por ejemplo, mientras que los Eventos 4625 y 4624 se generan cuando se falla en iniciar sesión o para inicio de sesión exitosos en una cuenta, ninguna de estas dos acciones revela si la misma cuenta experimentó recientemente ambos eventos. Usted debe correlacionar los dos Eventos utilizando sus respectivas ID de inicio de sesión para descubrirlo.
Por tanto, se debe realizar el análisis y correlación de eventos. Las soluciones nativas y scripts de PowerShell demandan experiencia y tiempo cuando se emplean para este fin, por lo que una herramienta externa es realmente indispensable.
Al aplicar machine learning, ADAudit Plus crea una referencia de actividades normales específicas para cada usuario y solo notifica al personal de seguridad cuando se produce una desviación de esta norma.
Por ejemplo, un usuario que accede de forma consistente a un servidor crítico fuera de las horas laborales no provocaría una alerta falsa debido a que es un comportamiento típico de dicho usuario. Por otro lado, ADAudit Plus enviaría una alerta instantáneamente a los equipos de seguridad cuando ese mismo usuario acceda a dicho servidor durante un momento en que nunca ha accedido antes, incluso aunque el acceso esté dentro de las horas comerciales.
Si desea explorar el producto por sí mismo, descargue la prueba gratuita y completamente funcional de 30 días.
Si desea que un experto lo guíe por un tour personalizado del producto, programe una demostración.
ManageEngine ADAudit Plus emplea machine learning para alertarle cuando un usuario con posibles intenciones maliciosas inicie sesión.
We’ve sent the guide to your inbox.
Before you leave, check out our guide on the 8 most critical Windows security events you must monitor.