Eu tenho tentado envolver minha cabeça em torno disso por um tempo, mas parece que não consigo encontrar uma solução. Eu tenho visto muitas perguntas semelhantes aqui e em outros fóruns, mas nenhuma coincide com a minha situação. Todos os outros segmentos têm fonte explícita, conta e informações de IP, mas o meu não. Esta é a informação do evento que aparece aproximadamente a cada meia hora:
An account failed to log on.
Subject: Security ID: SYSTEM Account Name: CITY2012ESS$ Account Domain: CITYMAN Logon ID: 0x3E7
Logon Type: 3
Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain:
Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xC000006D Sub Status: 0xC0000064
Process Information: Caller Process ID: 0x280 Caller Process Name: C:\Windows\System32\lsass.exe
Network Information: Workstation Name: CITY2012ESS Source Network Address: - Source Port: -
Detailed Authentication Information: Logon Process: Schannel Authentication Package: Kerberos Transited Services: - Package Name (NTLM only): - Key Length: 0
Este evento é gerado quando uma solicitação de logon falha. É gerado no computador em que o acesso foi tentado.
Como você pode ver, não há informações de conta ou rede sobre a fonte disponível. Isso me leva a pensar que isso está acontecendo na própria máquina do servidor, causada por algum serviço. Vale a pena mencionar é que este servidor não está acessível a partir do tráfego de internet externo. Não há troca no servidor, apenas uma sincronização do AD do Office365. Então eu acho que o "ataque" deve estar vindo de dentro da rede local, ou mesmo dentro da máquina local.
Alguém pode lançar alguma luz sobre isso?