4777 NTLM による資格情報検証の失敗（DC）

ドメインコントローラが NTLM による資格情報の検証に失敗したときに記録される。NTLM 認証失敗を DC 側で捉えるイベント。

概要

サブカテゴリは Audit Credential Validation。ドメインコントローラが、NTLM で提示された資格情報の検証に失敗すると生成される。失敗理由は 4776 と同様のエラーコードで表れる。

発生契機・方法

ドメインアカウントの NTLM 認証が、誤パスワード・無効アカウント等で失敗したとき。

セキュリティ上の確認事項

4776 の失敗と同様、NTLM 経路でのパスワードスプレー・ブルートフォースの手がかりになる。送信元端末・対象アカウント・エラーコードで失敗の集中を見る。
環境やバージョンによっては、NTLM 検証失敗は主に 4776（F）として現れる。両者を併せて NTLM 認証失敗を網羅的に監視する。

ログレビュー時の注意観点

DC で発生する。送信元と対象アカウントを軸に、攻撃由来か設定/古い資格情報由来かを切り分ける。
Kerberos の 4771・NTLM の 4776 と合わせ、認証失敗の全体像を作る。

主なフィールド

フィールド	意味
`Logon Account`	検証に失敗したアカウント
`Source Workstation`	要求元端末
`Error Code`	失敗理由コード

参考

Microsoft Learn: 4777(F) The domain controller failed to validate the credentials for an account.