4770 Kerberos サービスチケットの更新
KDC が既存の Kerberos サービスチケットを更新(再発行)したときに記録される。サービスチケットの寿命延長を捉える補助イベント。
概要
サブカテゴリは Audit Kerberos Service Ticket Operations。更新可能なサービスチケットが、有効期限内に更新されると生成される。ドメインコントローラ上で記録される。新規発行は 4769、更新は 4770 で区別される。
発生契機・方法
- クライアントが、保持しているサービスチケットの有効期限を延長(更新)したとき。
- 長時間のセッションや常駐サービスで定常的に発生する。
セキュリティ上の確認事項
- 単体での security 上の意味は限定的。新規要求の 4769 ほど Kerberoasting に直結しないが、暗号化方式(RC4 か)や対象サービスは同様に確認できる。
- 異常に長く更新され続けるチケットや、想定外のサービス・アカウントの更新は、新規要求イベントと併せて評価する。
ログレビュー時の注意観点
- 正規のセッション継続で大量に出る。基本は 4769 を主に見て、4770 は補足として扱う。
- Kerberos の一連(4768 → 4769 → 4770)の中で、チケットの寿命・更新の流れを把握するのに使う。
主なフィールド
| フィールド | 意味 |
|---|---|
Account Name | チケットを更新したアカウント |
Service Name | 対象サービス(SPN) |
Ticket Encryption Type | 暗号化方式 |