首页 > 系统相关 >Windows安全日志分析实战:15个关键事件ID详解

Windows安全日志分析实战:15个关键事件ID详解

时间:2024-08-30 13:48:17浏览次数:12  
标签:15 Windows 安全 事件 日志 权限 ID

Windows安全日志分析实战:15个关键事件ID详解

原创 VlangCN HW安全之路    2024年08月27日 07:30 山东

各位读者朋友们好,我是v浪。都2024年了,浪哥估计又阳了。但是没关系,今天同样大家带来一篇实用性很强的文章 - Windows关键事件ID盘点。作为网络安全从业人员,了解这些事件ID对于及时发现和应对潜在威胁至关重要。让我们一起来看看吧!

事件ID 1116 - 防病毒软件检测到恶意软件

这个事件记录了Windows Defender检测到恶意软件的情况。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。

事件ID 4624 - 账户登录成功

通过监控这些登录事件,我们可以跟踪谁在何时访问了系统。留意异常的访问模式,可能暗示未经授权的活动。

图片

事件ID 4625 - 账户登录失败

图片

登录失败尝试由此事件ID记录。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。通过密切关注这些事件,我们可以及早发现可疑行为并采取行动。

事件ID 4672 - 为新登录分配特殊权限

当用户被授予特殊权限时,会生成此事件。这对于发现权限提升至关重要,因为它可能表明攻击者正在获得更高级别的访问权限。定期检查这些日志有助于确保权限变更的合法性。

事件ID 4688 - 新进程创建

此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。跟踪进程创建有助于及早发现潜在威胁。

事件ID 4689 - 进程终止

当进程终止时,会触发此事件。这有助于了解进程的生命周期,并可用于与进程创建事件相关联。这是监控系统活动的另一个重要环节。

事件ID 4720 - 用户账户创建

此事件记录了新用户账户的创建。这对于监控谁被添加到系统中以及确保账户创建符合组织政策至关重要。意外出现的新账户可能是一个危险信号。

事件ID 4726 - 用户账户删除

当用户账户被删除时,会记录此事件。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。监控这些事件可以确保账户管理的安全性。

事件ID 4732 - 成员被添加到启用安全的本地组

此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。

事件ID 4771 - Kerberos预身份验证失败

这个事件类似于4625(登录失败),但专门针对Kerberos身份验证。如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。

事件ID 5001 - 防病毒实时保护配置已更改

此事件表明Defender的实时保护设置已被修改。未经授权的更改可能表明有人试图禁用或破坏Defender的功能。

事件ID 5140 - 网络共享访问

事件ID 5140记录了对网络共享的访问。这对于检测未经授权的文件访问或数据泄露非常有用。通过监控网络共享访问,我们可以确保文件共享实践的安全性。

事件ID 5156 - Windows筛选平台(WFP)允许网络连接

图片

此事件捕获了Windows筛选平台允许的网络连接。它有助于识别异常或未经授权的网络流量,这对维护网络安全至关重要。

事件ID 5158 - Windows筛选平台已允许绑定到本地端口

当WFP阻止网络连接时,会生成事件ID 5158。这有助于了解哪些网络流量被阻止,并排除任何潜在的安全问题。

事件ID 7045 - 系统中安装了服务

突然出现未知服务可能表明恶意软件安装,因为许多类型的恶意软件会将自己安装为服务。

总结

了解这些Windows事件ID对于安全分析师来说至关重要。通过密切关注这些关键日志,我们可以:

  1. 及时发现可疑活动
  2. 跟踪用户行为
  3. 监控系统变更
  4. 快速响应潜在威胁

掌握这些事件ID不仅有助于我们应对安全事件,还能增强整体安全策略。保持警惕,善用这些洞察,让我们共同守护系统安全,保护组织免受攻击。

各位读者,你们在日常工作中还关注哪些重要的事件ID呢?欢迎在评论区分享你的经验和见解!

如果觉得文章有帮助,别忘了点赞、转发哦。我是v浪,我们下期再见!

 

VlangCN

赞赏二维码喜欢作者

网络安全17 安全运营1 Windows安全1 事件日志分析1 网络安全 · 目录 上一篇【技术干货】一文读懂DNS原理,提升网安能力下一篇端口号揭秘:安全工程师的必备利器 - 从原理到实战的深度剖析 阅读 650   ​ 分享此内容的人还喜欢   【漏洞预警】CVE-2024-38063:Windows TCP/IP 远程执行代码漏洞     HW安全之路   不看的原因   网络安全无小事,安全运维高手必会的20个关键知识点!     我看过的号 运维网工   不看的原因   吊打vs Code! github 45K star,超强性能,新一代多人协作IDE推荐!     我看过的号 开源精选推荐   不看的原因 作者已设置关注7天后才可留言           HW安全之路     留言  

暂无留言

作者已设置关注7天后才可留言

标签:15,Windows,安全,事件,日志,权限,ID
From: https://www.cnblogs.com/cheyunhua/p/18388611

相关文章

  • 两个集合对都包含id,且id相同的数组进行过滤;返回需求集合
    ResponseEntity<Page<WmsInventoryHistoryVO>>ok=ResponseEntity.ok(service.selectList(newWmsInventoryHistory(),page));WmsInventoryHistorywmsInventoryHistory=newWmsInventoryHistory();wmsInventoryHistory.setWarehouseId(i......
  • Error - gpg: no valid OpenPGP data found.
    InstallTableplus(https://tableplus.com/blog/2019/10/tableplus-linux-installation.html):Ubuntu24.04X86_64#AddTablePlusgpgkeywget-qO-https://deb.tableplus.com/apt.tableplus.com.gpg.key|gpg--dearmor|sudotee/etc/apt/trusted.gpg.d/tablep......
  • 如何使用clouddrive 在QNAP 威联通中挂载阿里云盘、天翼云盘、115网盘等
    hello大家好,我是你们的新伙伴,稳重的大王~创作立场:原创不易,拒绝搬运~》》日常求粉~QNAP威联通自带的hybridmount以及HBS3,虽然可以做到挂载、同步网盘数据,但是支持的国内网盘有限,本文给大家介绍一款非常好用的软件——clouddrive文章后面贴上app安装包下载地址,下载下来之后,......
  • 结构开发笔记(六):solidworks软件(五):绘制M2x3.0mm螺丝
    若该文为原创文章,转载请注明原文出处本文章博客地址:https://hpzwl.blog.csdn.net/article/details/141499374长沙红胖子Qt(长沙创微智科)博文大全:开发技术集合(包含Qt实用技术、树莓派、三维、OpenCV、OpenGL、ffmpeg、OSG、单片机、软硬结合等等)持续更新中…硬件相关开发......
  • day15JS-es6的基础语法
     1.严格模式1.1严格模式的使用方法使用方法1:"usestrict";开启严格模式。使用方法2:<scripttype="moaule"></script> 当设置script标签为模块化时,自动启用严格模式。 1.2严格模式的限制1. 要求变量不能重名。//报错"usestrict";vara=2;vara=4; 2.......
  • 【效率工具】推荐几款好用的idea中的AI助手插件
    1.Tabnine特点:Tabnine提供智能代码补全功能,基于深度学习的模型来预测和补全代码块。它可以根据你当前代码的上下文,智能推荐代码、函数、类、变量名等。支持多种语言,包括Java、Python、JavaScript等,特别适合Java开发者。Tabnine可以在本地运行,保护代码隐私。优势:提高......
  • Android Auto认证费用及流程
    AndroidAuto认证是谷歌为汽车制造商和合作伙伴提供的一种官方认证机制。这个认证过程确保车辆信息娱乐系统(IVI系统)与AndroidAuto平台兼容,允许驾驶员在驾驶过程中安全、便捷地使用Android设备上的应用程序和服务。AndroidAuto是谷歌开发的一个车载应用平台,旨在将Android设备的核......
  • !!!值得收藏的好方法【关于Windows edge兼容性问题的修复】
    成长路上不孤单......
  • 神策SDK不支持Windows客户端全埋点,怎么实现用户统计分析?
    本文将介绍,ClkLog针对神策不支持全埋点的客户端实现用户访问基础统计分析-1。● ClkLog客户遇到的问题ClkLog的用户访问基础统计分析功能是基于神策SDK的全埋点来实现的。我们遇到有些客户是使用C++、C#等语言来开发的客户端,然而神策此类SDK(如C++,C#等)仅提供自定义事件埋点,并未......
  • 代码随想录day45 || 115 不同子序列, 583 两个字符串删除操作, 72 编辑距离
    115不同子序列funcnumDistinct(sstring,tstring)int{ //动态规划,思考一下判断连续和不连续的区别,如果相等都是左上角+1,如果不等,连续情况就是直接等于左上角,不连续情况直接归零 //dp[i][j]表示s[i]中存在t[j]结尾的的个数 //递推公式,不要求连续字串,所以,如果s[i......