4769 Kerberos サービスチケットの要求
KDC が Kerberos のサービスチケット(TGS)を発行したときに記録される。Kerberoasting(サービスアカウントのパスワード解析)の検知に使える、Kerberos 監視の最重要イベント。
概要
サブカテゴリは Audit Kerberos Service Ticket Operations。KDC が、特定サービス(SPN: サービスプリンシパル名)に対するサービスチケット(TGS)の要求を受けて発行するたびに生成される。要求アカウント・対象サービス名・暗号化方式・送信元 IP が含まれる。なお Windows Server 2016 以降では、2025 年 1 月 14 日以降の累積更新でイベント形式が更新版になる。
発生契機・方法
- ユーザーが TGT(4768) を使って、特定サービスへのアクセスに必要なサービスチケットを要求したとき。
- 正規のリソースアクセス(ファイル共有、SQL、HTTP など)で常時発生する。
セキュリティ上の確認事項
- Kerberoasting: 攻撃者は、SPN を持つサービスアカウントのチケットを大量に要求し、その暗号化部分をオフラインで解析してパスワードを得る。
Ticket Encryption Typeが0x17(RC4)のサービスチケット要求は、AES が既定の現代環境では赤信号。攻撃者はあえて解析しやすい RC4 を要求することが多い。 - 1 つのアカウントが短時間に多数の異なる SPN のチケットを要求する、
krbtgtや高価値サービスアカウントの SPN が要求される、といったパターンに注目する。 Failure Codeも確認する(例:0x1bなど)。TGT の 4768 と相関し、要求元ユーザーの一連の動きを追う。
ログレビュー時の注意観点
- DC・サービスサーバーで膨大に出る正常イベント。
RC4 (0x17)への絞り込み、および「1 ユーザーが短時間に多数 SPN を要求」という相関で、初めて Kerberoasting 検知になる。 - 環境を AES のみに統一すれば RC4 要求自体が異常として浮き上がり、検知精度が上がる。
主なフィールド
| フィールド | 意味 |
|---|---|
Account Name | サービスチケットを要求したアカウント |
Service Name / Service ID | 対象サービス(SPN) |
Ticket Encryption Type | 0x17(RC4) は Kerberoasting の赤信号、0x12 は AES256 |
Client Address | 要求元 IP |
Failure Code | 失敗理由 |
用語メモ
- Kerberoasting — SPN を持つサービスアカウントのチケットを取得し、オフラインでパスワードを解析する攻撃。弱いパスワードのサービスアカウントが狙われる。
- SPN (サービスプリンシパル名) — サービスを一意に表す名前。チケット要求の宛先になる。