Forum Discussion
Suspected identity theft (pass-the-ticket) on multiple endpoints krbtgt
User Kerb tkt was taken from DirectAccess always on VPN server which has local NPS then used on user computer to access multiple resources. Expected behavior observed. What conditions to use for suppressing this alert?
Related account: krbtgt
Suspect account: domain user
Hosts related: DC, DirectAccess server with local NPS
Source host: domain user machine
I can use the above SID and exclude but I'm hesitant as TP alerts may automatically close. I've several alerts like these daily.
Blanket exclusion on all krbtgt alerts i would think is bad practice. In the event what if account itself has been compromised? Then alerts will slip. MDI makes lot of noise and adjustments can be made in conjunction with exclusions based on potential threat and attack story but dismissing them introduces high risk and exposure to more attacks.
- Entiendo tu preocupación. La alerta de "Sospecha de robo de identidad (pass-the-ticket)" en Microsoft Defender for Identity se genera cuando se detecta un posible uso indebido de un vale Kerberos[](https://learn.microsoft.com/es-es/defender-for-identity/lateral-movement-alerts "1"). Aquí hay algunas condiciones que podrías considerar para suprimir esta alerta:
1. **Excluir la cuenta sospechosa**: Si estás seguro de que la cuenta sospechosa (krbtgt) no está comprometida, puedes excluirla de las alertas[](https://learn.microsoft.com/es-es/defender-for-identity/advanced-settings "2"). Sin embargo, ten en cuenta que esto debe hacerse con precaución.
2. **Ajustar los umbrales de alerta**: Puedes ajustar los umbrales de alerta en Microsoft Defender for Identity para reducir los falsos positivos[](https://learn.microsoft.com/es-es/defender-for-identity/advanced-settings "2"). Esto te permitirá personalizar el nivel de sensibilidad de las alertas[](https://learn.microsoft.com/es-es/defender-for-identity/advanced-settings "2").
3. **Monitorear el comportamiento**: Si el comportamiento observado es esperado y no hay indicación de actividad maliciosa, podrías considerar documentar este comportamiento y ajustar las reglas de alerta en consecuencia.
4. **Revisar los hosts relacionados**: Asegúrate de que los hosts relacionados (DC, servidor DirectAccess con NPS local, y la máquina del usuario) estén configurados correctamente y no estén comprometidos.
5. **Consultar con el equipo de seguridad**: Si recibes varias alertas similares a diario, es importante consultar con tu equipo de seguridad para revisar y ajustar las configuraciones según sea necesario.
