域賬戶爆破（2000多次）成功，但未產生報警；

[jack-fox-gif]

您好，在域控的事件查看器中的安全性中有大量的登入認證稽核失敗記錄，查看winlogbeat日誌（winlogbeat版本為6.2.0），有大量事件傳輸給WatchAD服務器中，查看在WatchAD服務器中的elasticsearch，有dc_log_日期的文件，但沒有dc_traffic_的文件，在WEB平台中的Configuration中能看到安裝時填的域名，請教下，可以如何排查問題點，非常感謝。

[jack-fox-gif]

我測試的域控服務器為Windows server 2012，對比了下WatchAD-master\modules\detect\event_log\lateral_movement\BruteForce.py中的事件ID為4625和4771，但在Windows server 2012上產生的事件ID為4625和4776，然後把BruteForce.py中的兩處事件ID為4771的改為4776，還是未產生告警，請問下是還需要更改什麼地方麼。謝謝啦!

[Qianlitp]

未产生告警有多个可能：

1. 你的爆破登录使用了何种方式，LDAP，NTLM，或者是Kerberos的票据请求？
2. 爆破有一个阈值，超过阈值才会告警，详情请查看代码根据自己的需求修改
3. 4776 是指域账户NTLM远程登录时，会在域控留下此日志，status标识了是否登录成功，理论上也可用作判断是否有暴力破解登录。

[jack-fox-gif]

使用的是enum爆破工具測試的