“构建Windows安全日志审计平台的核心在于有效筛选和分析安全事件。本篇重点关注工作组环境下的关键安全事件ID及其核心字段的提取,为后续后端数据处理和展示奠定基础。由于当前资源限制,域环境事件暂不纳入,将在后续版本中进行补充。”
注:下面的json 来源为 https://github.com/iying-nl/winlogEVTXtract 处理好的json 文件里面来的。
一、关注的事件
登录:
4624: 账户成功登录
4625: 账户登录失败
4672: 分配给新登录的管理员权限
4648: 试图使用显式凭据登录
账户管理:
4720: 创建用户账户
4722: 启用用户账户
4724: 尝试重置帐户密码
4725: 禁用用户账户
4726: 删除用户账户
4738: 更改用户账户密码
4781: 帐户的名称已更改
组管理:
4731: 已创建启用安全组(本地)
4732: 已将成员添加到启用安全组(本地)
4735: 已更改启用安全组(本地)
其他:
1102: 已清除审核日志
1.1 登录
{
"AuthenticationPackageName": "Negotiate",
"Channel": "Security",
"ChunkNumber": "4",
"Computer": "WIN-2RLPM8TI7OE",
"ElevatedToken": "%%1842",
"EventId": "4624",
"EventRecordId": "366",
"ExtraDataOffset": "0",
"HiddenRecord": "false",
"ImpersonationLevel": "%%1833",
"IpAddress": "192.168.137.1",
"IpPort": "0",
"KeyLength": "0",
"Keywords": "Audit success",
"Level": "LogAlways",
"LmPackageName": "-",
"LogonGuid": "00000000-0000-0000-0000-000000000000",
"LogonProcessName": "User32 ",
"LogonType": "10",
"ProcessId": "0x3BC",
"ProcessName": "C:\\Windows\\System32\\svchost.exe",
"Provider": "Microsoft-Windows-Security-Auditing",
"RecordNumber": "366",
"RestrictedAdminMode": "%%1843",
"SourceFile": "E:\\开发\\日志\\日志\\日志处理\\raw_evtx_logs\\192.168.137.149.evtx",
"SubjectDomainName": "WORKGROUP",
"SubjectLogonId": "0x3E7",
"SubjectUserName": "WIN-2RLPM8TI7OE$",
"SubjectUserSid": "S-1-5-18",
"TargetDomainName": "WIN-2RLPM8TI7OE",
"TargetLinkedLogonId": "0x0",
"TargetLogonId": "0x61EDCF0",
"TargetOutboundDomainName": "-",
"TargetOutboundUserName": "-",
"TargetUserName": "Administrator",
"TargetUserSid": "S-1-5-21-291899444-3403010305-3658075176-500",
"ThreadId": "168",
"TimeCreated": "2024-12-02T06:22:48.7922872+00:00",
"TransmittedServices": "-",
"VirtualAccount": "%%1843",
"WorkstationName": "WIN-2RLPM8TI7OE",
"logip": "192.168.137.149"
},
【核心字段】:
事件ID, EventId: "4624" - 事件 ID,表示帐户成功登录。
事件时间, TimeCreated: "2024-12-02T06:22:48.7922872+00:00" - 事件发生的时间戳。
计算机名, Computer: "WIN-2RLPM8TI7OE" - 发生登录事件的计算机名。
目标用户名, TargetUserName: "Administrator" - 被登录的目标账户名。
目标域/计算机名, TargetDomainName: "WIN-2RLPM8TI7OE" - 目标用户所在的域/计算机名。
目标用户SID, TargetUserSid: "S-1-5-21-291899444-3403010305-3658075176-500" - 目标用户的安全标识符 (SID)。
主体用户名, SubjectUserName: "WIN-2RLPM8TI7OE$" - 执行登录操作的主体账户名。
主体域/工作组, SubjectDomainName: "WORKGROUP" - 执行登录操作的主体所在的域/工作组。
主体用户SID, SubjectUserSid: "S-1-5-18" - 执行登录操作的主体的安全标识符 (SID),S-1-5-18 通常代表本地系统账户。
登录类型, LogonType: "10" - 登录类型,10 代表远程交互式登录 (RDP)。
IP地址, IpAddress: "192.168.137.1" - 发起登录请求的客户端 IP 地址。
身份验证包, AuthenticationPackageName: "Negotiate" - 使用的身份验证包,Negotiate 表示使用协商的身份验证协议,通常是 Kerberos 或 NTLM。
登录进程, LogonProcessName: "User32 " - 执行登录的进程,User32 通常与用户界面和交互式登录相关。
进程名, ProcessName: "C:\Windows\System32\svchost.exe" - 发起登录请求的进程,svchost.exe 是一个通用的服务宿主进程。
【Logon Type: 登录类型】
2 (Interactive): 用户直接在本地计算机上通过键盘和屏幕登录。
3 (Network): 用户通过网络共享资源登录。
4 (Batch): 批处理作业登录。
5 (Service): 服务以特定用户身份启动。
7 (Unlock): 屏幕被解锁。
9 (NewCredentials): 使用 RunAs 命令或其他机制以不同凭据登录。
10 (RemoteInteractive): 通过远程桌面连接登录。
11 (CachedInteractive): 使用缓存的凭据登录,通常在域环境中离线登录时发生。
【AuthenticationPackageName字段】
AuthenticationPackageName: "Negotiate" - 使用的身份验证包,Negotiate 表示使用协商的身份验证协议,通常是 Kerberos 或 NTLM。
除了 "Negotiate",Windows 安全事件日志中 AuthenticationPackageName 字段还可能包含以下几种常见的身份验证包类型:
-
NTLM: 表示使用 NTLM 身份验证协议。NTLM 是一种较老的挑战/响应身份验证协议,在一些旧系统或工作组环境中仍然被使用。
-
Kerberos: 表示使用 Kerberos 身份验证协议。Kerberos 是一种更安全的网络身份验证协议,广泛用于域环境中。
-
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0: 这是 NTLM 协议的内部名称。
-
SChannel: 表示使用安全通道 (SChannel) 身份验证。SChannel 是一种用于安全通信的 SSP (Security Support Provider),常用于 SSL/TLS 连接。
-
Digest: 表示使用 Digest Access Authentication 协议。这是一种 HTTP 身份验证协议,通常用于 Web 应用程序。
-
CredSSP: 表示使用凭据安全支持提供程序 (Credential Security Support Provider)。CredSSP 允许将用户的凭据委派给远程服务器,常用于远程桌面连接。
-
Anonymous: 表示匿名登录,没有提供任何身份验证凭据。
【核心字段】:
事件ID, EventId: "4625" - 事件 ID,表示帐户登录失败。
事件时间, TimeCreated: "2024-12-02T08:39:38.1582725+00:00" - 事件发生的时间戳。
计算机名, Computer: "WIN-2RLPM8TI7OE" - 发生登录失败事件的计算机名。
目标用户名, TargetUserName: "webadmin" - 尝试登录的目标账户名。
目标域/计算机名, TargetDomainName: "" - 目标用户所在的域/计算机名,可能为本地账户。
目标用户SID, TargetUserSid: "S-1-0-0" - 目标用户的安全标识符 (SID)。S-1-0-0 通常表示一个无效的 SID,可能是因为用户不存在或无法解析。
IP地址, IpAddress: "192.168.137.1" - 发起登录请求的客户端 IP 地址。
IP端口, IpPort: "58555" - 发起登录请求的客户端端口号。
登录类型, LogonType: "3" - 登录类型,3 代表网络登录,例如通过网络共享访问。
身份验证包, AuthenticationPackageName: "NTLM" - 使用的身份验证包。
登录进程, LogonProcessName: "NtLmSsp " - 执行登录的进程,NtLmSsp 是 NTLM 安全支持提供程序。
状态码, Status: "0xC000006D" - 登录失败的状态码,表示用户名或密码不正确。
子状态码, SubStatus: "0xC0000064" - 登录失败的子状态码,进一步确认是用户名错误或用户不存在。
失败原因, FailureReason: "%%2313" - 失败原因的占位符,需要进一步解析。
{
"Channel": "Security",
"ChunkNumber": "0",
"Computer": "WIN-MH0D37EDEEI",
"EventId": "4672",
"EventRecordId": "17",
"ExtraDataOffset": "0",
"HiddenRecord": "false",
"Keywords": "Audit success",
"Level": "LogAlways",
"PrivilegeList": "SeAssignPrimaryTokenPrivilege, SeTcbPrivilege, SeSecurityPrivilege, SeTakeOwnershipPrivilege, SeLoadDriverPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeDebugPrivilege, SeAuditPrivilege, SeSystemEnvironmentPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege",
"ProcessId": "552",
"Provider": "Microsoft-Windows-Security-Auditing",
"RecordNumber": "17",
"SourceFile": "E:\\开发\\日志\\日志\\日志处理\\raw_evtx_logs\\192.168.137.149.evtx",
"SubjectDomainName": "NT AUTHORITY",
"SubjectLogonId": "0x3E7",
"SubjectUserName": "SYSTEM",
"SubjectUserSid": "S-1-5-18",
"ThreadId": "596",
"TimeCreated": "2024-12-01T09:36:13.0521684+00:00",
"logip": "192.168.137.149"
},
【核心字段】:
事件ID, EventId: "4672" - 事件 ID,表示已将特权分配给新登录。
事件时间, TimeCreated: 事件发生的时间戳 (例如:2024-12-01T09:36:13.0521684+00:00)
计算机名, Computer: 发生特权分配事件的计算机名 (例如:WIN-MH0D37EDEEI)
用户名, SubjectUserName: 被分配特权的用户 (例如:SYSTEM)
域/计算机名, SubjectDomainName: 用户所在的域/计算机名 (例如:NT AUTHORITY)
用户SID, SubjectUserSid: 用户的安全标识符 (SID) (例如:S-1-5-18)
特权列表, PrivilegeList: 分配的特权列表 (例如:SeAssignPrimaryTokenPrivilege, SeTcbPrivilege, SeSecurityPrivilege, SeTakeOwnershipPrivilege, SeLoadDriverPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeDebugPrivilege, SeAuditPrivilege, SeSystemEnvironmentPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege)
进程ID, ProcessId: 执行特权分配操作的进程 ID (例如:552)
线程ID, ThreadId: 执行特权分配操作的线程 ID (例如:596)
IP地址, logip: 事件发生的计算机IP (例如:192.168.137.149)
1、 高危特权 (极高风险):
SeTcbPrivilege (作为操作系统的一部分):
风险:
系统最高权限,可执行任何操作,绕过所有安全限制。一旦被恶意利用,系统将完全失控。
关注点:
监控 SYSTEM 以外的任何用户或进程被赋予此特权。
定期审计特权分配情况,确保只有必要的系统组件拥有此特权。
高频次出现需注意,可能存在恶意程序提权行为。
SeDebugPrivilege (调试程序):
风险:
允许附加到其他进程,读取和修改内存,注入代码,窃取凭据,绕过安全机制。
关注点:
监控哪些进程被授予此特权,尤其是 Web 服务器、数据库服务器等关键服务。
审计调试行为,及时发现异常的进程附加或内存修改操作。
SeLoadDriverPrivilege (加载和卸载设备驱动程序):
风险:
加载内核模式驱动程序,攻击者可在内核级别执行代码,隐藏自身,绕过安全软件。
关注点:
检查是否有未知的或可疑的驱动程序被加载。
监控驱动程序加载事件,及时发现恶意驱动程序。
结合驱动签名验证机制,阻止未签名驱动的加载。
SeImpersonatePrivilege (模拟客户端) / SeDelegateSessionUserImpersonatePrivilege (委派会话用户模拟):
风险:
模拟其他用户安全上下文,访问资源或执行操作。
关注点:
监控哪些进程被授予这些特权,特别是服务账户。
检查是否有异常的模拟行为,如短时间内大量模拟其他用户。
2. 横向移动和持久化相关特权 (高风险):
SeAssignPrimaryTokenPrivilege (分配主令牌):
风险:
替换子进程的默认令牌,提升子进程权限。
关注点:
监控此特权的分配情况,特别是是否有进程被授予了不必要的权限。
结合进程创建事件,分析子进程是否被赋予了过高的权限。
SeCreateTokenPrivilege (创建令牌对象):
风险:
创建自定义权限的访问令牌,访问其他系统资源。
关注点:
监控令牌创建事件,特别是是否有可疑的令牌被创建。
SeCreateGlobalPrivilege (创建全局对象) / SeCreatePermanentPrivilege (创建永久共享对象):
风险:
创建全局对象实现进程间通信和持久化,攻击者可利用其在系统重启后保持控制权。
关注点:
检查是否有恶意的全局对象被创建。
监控系统启动项和注册表,及时发现持久化恶意程序。
3. 数据窃取和破坏相关特权 (中高风险):
SeBackupPrivilege (备份文件和目录) / SeRestorePrivilege (还原文件和目录):
风险:
绕过文件权限进行备份和还原,窃取数据或破坏系统。
关注点:
监控是否有非授权的备份或还原操作,特别是在敏感目录。
SeTakeOwnershipPrivilege (获取文件或其他对象的所有权):
风险:
获取任何对象所有权,访问或修改受保护数据。
关注点:
监控文件和对象所有权变更事件,特别是敏感文件或对象。
4. 日志篡改和隐藏相关特权 (中风险):
SeAuditPrivilege (生成安全审核) / SeManageAuditingAndSecurityLogPrivilege (管理审核和安全日志):
风险:
管理安全审核日志,攻击者可清除日志或禁用审核,掩盖踪迹。
关注点:
监控安全日志是否有被篡改或清除的迹象。
检查审核策略是否被恶意更改。
定期备份安全日志到安全的位置。
PrivilegeList特权
{
"privileges": [
{
"name_en": "SeAssignPrimaryTokenPrivilege",
"name_zh": "分配主令牌",
"description_zh": "允许进程分配替换默认与子进程关联的令牌。"
},
{
"name_en": "SeAuditPrivilege",
"name_zh": "生成安全审核",
"description_zh": "允许进程生成安全审计日志条目。滥用此特权可能会导致安全日志被填满或被篡改。"
},
{
"name_en": "SeBackupPrivilege",
"name_zh": "备份文件和目录",
"description_zh": "允许进程绕过文件和目录权限进行备份操作。"
},
{
"name_en": "SeChangeNotifyPrivilege",
"name_zh": "绕过遍历检查",
"description_zh": "允许用户遍历目录树,即使他们没有该目录的遍历权限。"
},
{
"name_en": "SeCreateGlobalPrivilege",
"name_zh": "创建全局对象",
"description_zh": "允许进程创建在所有会话中可见的全局对象,例如命名互斥体、事件和信号量。"
},
{
"name_en": "SeCreatePagefilePrivilege",
"name_zh": "创建页面文件",
"description_zh": "允许进程创建或修改系统页面文件的大小。"
},
{
"name_en": "SeCreatePermanentPrivilege",
"name_zh": "创建永久共享对象",
"description_zh": "允许进程创建持久性的命名对象,这些对象在系统重启后仍然存在。"
},
{
"name_en": "SeCreateSymbolicLinkPrivilege",
"name_zh": "创建符号链接",
"description_zh": "允许进程创建符号链接,这可能会被用于攻击目的,例如创建指向敏感文件的链接。"
},
{
"name_en": "SeCreateTokenPrivilege",
"name_zh": "创建令牌对象",
"description_zh": "允许进程创建访问令牌。"
},
{
"name_en": "SeDebugPrivilege",
"name_zh": "调试程序",
"description_zh": "允许进程附加到其他进程进行调试,这可能会被用于访问其他进程的内存或修改其行为。"
},
{
"name_en": "SeDelegateSessionUserImpersonatePrivilege",
"name_zh": "委派会话用户模拟",
"description_zh": "允许服务模拟已登录到系统的任何用户。这是一种非常强大的特权,需要谨慎使用。"
},
{
"name_en": "SeEnableDelegationPrivilege",
"name_zh": "允许受信任的帐户进行委派",
"description_zh": "允许进程将用户的凭据委派给其他服务。"
},
{
"name_en": "SeImpersonatePrivilege",
"name_zh": "模拟客户端",
"description_zh": "允许进程模拟客户端的安全上下文。"
},
{
"name_en": "SeIncreaseBasePriorityPrivilege",
"name_zh": "提高调度优先级",
"description_zh": "允许进程提高其自身的 CPU 调度优先级,这可能会影响系统性能。"
},
{
"name_en": "SeIncreaseQuotaPrivilege",
"name_zh": "调整进程的内存配额",
"description_zh": "允许进程增加或减少其内存使用配额。"
},
{
"name_en": "SeIncreaseWorkingSetPrivilege",
"name_zh": "增加进程工作集",
"description_zh": "允许进程增加其工作集大小,这可以提高性能,但也可能导致内存不足。"
},
{
"name_en": "SeLoadDriverPrivilege",
"name_zh": "加载和卸载设备驱动程序",
"description_zh": "允许进程加载或卸载系统设备驱动程序。滥用此特权可能会导致系统不稳定或被恶意软件控制。"
},
{
"name_en": "SeLockMemoryPrivilege",
"name_zh": "将页面锁定在内存中",
"description_zh": "允许进程将物理内存页面锁定在 RAM 中,防止其被换出到页面文件。"
},
{
"name_en": "SeMachineAccountPrivilege",
"name_zh": "添加工作站到域",
"description_zh": "允许进程将计算机添加到域。"
},
{
"name_en": "SeManageAuditingAndSecurityLogPrivilege",
"name_zh": "管理审核和安全日志",
"description_zh": "允许进程配置安全审核策略和清除安全日志。"
},
{
"name_en": "SeManageVolumePrivilege",
"name_zh": "执行卷维护任务",
"description_zh": "允许进程执行磁盘卷维护任务,例如格式化卷。"
},
{
"name_en": "SeProfileSingleProcessPrivilege",
"name_zh": "分析单个进程",
"description_zh": "允许进程对其他进程进行性能分析。"
},
{
"name_en": "SeRelabelPrivilege",
"name_zh": "修改对象的完整性级别",
"description_zh": "允许进程修改对象的完整性级别,这可以用于控制对敏感数据的访问。"
},
{
"name_en": "SeRemoteShutdownPrivilege",
"name_zh": "从远程系统强制关机",
"description_zh": "允许进程从远程系统强制关机。"
},
{
"name_en": "SeRestorePrivilege",
"name_zh": "还原文件和目录",
"description_zh": "允许进程绕过文件和目录权限进行还原操作。"
},
{
"name_en": "SeSecurityPrivilege",
"name_zh": "管理审核和安全日志",
"description_zh": "与`SeManageAuditingAndSecurityLogPrivilege`类似。"
},
{
"name_en": "SeShutdownPrivilege",
"name_zh": "关闭系统",
"description_zh": "允许进程关闭本地计算机。"
},
{
"name_en": "SeSyncAgentPrivilege",
"name_zh": "同步目录服务数据",
"description_zh": "允许进程同步目录服务数据。"
},
{
"name_en": "SeSystemEnvironmentPrivilege",
"name_zh": "修改系统环境",
"description_zh": "允许进程修改系统环境变量,这可能会影响系统的行为。"
},
{
"name_en": "SeSystemProfilePrivilege",
"name_zh": "分析系统性能",
"description_zh": "允许进程收集系统性能数据。"
},
{
"name_en": "SeSystemtimePrivilege",
"name_zh": "更改系统时间",
"description_zh": "允许进程更改系统时间。"
},
{
"name_en": "SeTakeOwnershipPrivilege",
"name_zh": "获取文件或其他对象的所有权",
"description_zh": "允许进程获取任何对象的所有权,即使他们没有被明确授予该权限。"
},
{
"name_en": "SeTcbPrivilege",
"name_zh": "作为操作系统的一部分 (TCB)",
"description_zh": "允许进程以操作系统信任的身份运行,这是一种非常强大的特权,需要谨慎使用。"
},
{
"name_en": "SeTimeZonePrivilege",
"name_zh": "更改时区",
"description_zh": "允许进程更改系统时区。"
},
{
"name_en": "SeTrustedCredManAccessPrivilege",
"name_zh": "访问凭据管理器作为受信任的调用方",
"description_zh": "允许进程访问凭据管理器中的敏感凭据。"
},
{
"name_en": "SeUndockPrivilege",
"name_zh": "从扩展坞移除计算机",
"description_zh": "允许进程从扩展坞移除计算机。"
},
{
"name_en": "SeUnsolicitedInputPrivilege",
"name_zh": "从终端设备读取未经请求的输入",
"description_zh": "允许进程从终端设备读取未经请求的输入。"
}
]
}
【核心字段】
时间 (TimeCreated): 2024-12-02T08:33:05.8938277+00:00 事件发生的时间,对于事件关联和时间线分析至关重要。
事件ID (EventId): 4648 指示发生的具体事件类型,这里是“显式凭据登录尝试”。
计算机名 (Computer): WIN-2RLPM8TI7OE 发生事件的计算机名称,用于定位受影响的系统。
用户名 (TargetUserName): DWM-1 尝试登录的用户名,这里是桌面窗口管理器账户,可能是系统启动或用户登录时触发。
进程名 (ProcessName): C:\Windows\System32\winlogon.exe 发起登录尝试的进程,有助于判断是否为恶意进程。
IP地址 (logip): 192.168.137.149 日志来源IP地址,用于确定事件发生的位置。
结果 (Keywords): Audit success 指示登录尝试是否成功,这里是成功。
1.2 账户管理:
【核心字段列表】:
事件 ID (EventId): 4720 (创建用户账户)
事件时间 (TimeCreated): 2024-12-03T08:45:51.5678095+00:00
计算机名 (Computer): WIN-2RLPM8TI7OE
创建者用户名 (SubjectUserName): Administrator
创建者域 (SubjectDomainName): WIN-2RLPM8TI7OE
创建者 SID (SubjectUserSid): S-1-5-21-291899444-3403010305-3658075176-500
被创建用户名 (TargetUserName): admin
被创建用户域 (TargetDomainName): WIN-2RLPM8TI7OE
被创建用户 SID (TargetSid): S-1-5-21-291899444-3403010305-3658075176-1000
SAM 账户名 (SamAccountName): admin
主要组 ID (PrimaryGroupId): 513
进程 ID (ProcessId): 596
用户账户控制 (UAC) 新值 (NewUacValue): 0x15
日志IP (logip): 192.168.137.149
操作结果 (Keywords): Audit success (表示操作成功)
【核心字段列表】:
事件 ID (EventId): 4722 (启用用户账户)
事件时间 (TimeCreated): 2024-12-03T08:51:46.5100057+00:00
计算机名 (Computer): WIN-2RLPM8TI7OE
操作者用户名 (SubjectUserName): Administrator
操作者域 (SubjectDomainName): WIN-2RLPM8TI7OE
操作者 SID (SubjectUserSid): S-1-5-21-291899444-3403010305-3658075176-500
被启用用户名 (TargetUserName): testuser
被启用用户域 (TargetDomainName): WIN-2RLPM8TI7OE
被启用用户 SID (TargetSid): S-1-5-21-291899444-3403010305-3658075176-1006
进程 ID (ProcessId): 596
日志IP (logip): 192.168.137.149
操作结果 (Keywords): Audit success (表示操作成功)
【核心字段列表】:
事件 ID (EventId): 4723 (尝试更改帐户密码)
事件时间 (TimeCreated): 2019-11-24T06:38:50.8997271+00:00 (时间较早)
计算机名 (Computer): WIN-2IQST1RMRLI
操作者用户名 (SubjectUserName): WIN-2IQST1RMRLI$ (计算机账户,重要信息)
操作者域 (SubjectDomainName): WORKGROUP
操作者 SID (SubjectUserSid): S-1-5-18
目标用户名 (TargetUserName): Administrator (本地管理员账户)
目标用户域 (TargetDomainName): WIN-2IQST1RMRLI
目标用户 SID (TargetSid): S-1-5-21-1950026923-4142074620-1635313097-500
进程 ID (ProcessId): 556
操作结果 (Keywords): Audit success
日志IP (logip): 172.19.1.10
【核心字段列表】:
事件 ID (EventId): 4724 (尝试重置帐户密码)
事件时间 (TimeCreated): 2024-12-01T09:36:49.3457713+00:00
计算机名 (Computer): WIN-2RLPM8TI7OE
操作者用户名 (SubjectUserName): WIN-2RLPM8TI7OE$
操作者域 (SubjectDomainName): WORKGROUP
操作者 SID (SubjectUserSid): S-1-5-18
目标用户名 (TargetUserName): Administrator
目标用户域 (TargetDomainName): WIN-2RLPM8TI7OE
目标用户 SID (TargetSid): S-1-5-21-291899444-3403010305-3658075176-500
进程 ID (ProcessId): 556
操作结果 (Keywords): Audit success (表示操作成功)
日志IP (logip): 192.168.137.149
【核心字段列表】:
事件 ID (EventId): 4725 (禁用用户账户)
事件时间 (TimeCreated): 2024-12-03T08:51:22.0421072+00:00
计算机名 (Computer): WIN-2RLPM8TI7OE
操作者用户名 (SubjectUserName): Administrator
操作者域 (SubjectDomainName): WIN-2RLPM8TI7OE
操作者 SID (SubjectUserSid): S-1-5-21-291899444-3403010305-3658075176-500
被禁用用户名 (TargetUserName): testuser
被禁用用户域 (TargetDomainName): WIN-2RLPM8TI7OE
被禁用用户 SID (TargetSid): S-1-5-21-291899444-3403010305-3658075176-1004
进程 ID (ProcessId): 596
操作结果 (Keywords): Audit success (表示操作成功)
日志IP (logip): 192.168.137.149
【核心字段列表】:
事件 ID (EventId): 4726 (删除用户账户)
事件时间 (TimeCreated): 2024-12-03T08:45:51.5752122+00:00
计算机名 (Computer): WIN-2RLPM8TI7OE
操作者用户名 (SubjectUserName): Administrator
操作者域 (SubjectDomainName): WIN-2RLPM8TI7OE
操作者 SID (SubjectUserSid): S-1-5-21-291899444-3403010305-3658075176-500
被删除用户名 (TargetUserName): admin
被删除用户域 (TargetDomainName): WIN-2RLPM8TI7OE
被删除用户 SID (TargetSid): S-1-5-21-291899444-3403010305-3658075176-1000
进程 ID (ProcessId): 596
操作结果 (Keywords): Audit success (表示操作成功)
日志IP (logip): 192.168.137.149
【核心字段列表】:
事件 ID (EventId): 4738 (用户帐户已更改)
事件时间 (TimeCreated): 2024-12-01T09:36:49.3457437+00:00
计算机名 (Computer): WIN-2RLPM8TI7OE
操作者用户名 (SubjectUserName): WIN-2RLPM8TI7OE$
操作者域 (SubjectDomainName): WORKGROUP
操作者 SID (SubjectUserSid): S-1-5-18
目标用户名 (TargetUserName): Administrator
目标用户域 (TargetDomainName): WIN-2RLPM8TI7OE
目标用户 SID (TargetSid): S-1-5-21-291899444-3403010305-3658075176-500
进程 ID (ProcessId): 556
操作结果 (Keywords): Audit success (表示操作成功)
密码最后设置时间 (PasswordLastSet): 2024/12/1 17:36:49 (注意时区问题)
日志IP (logip): 192.168.137.149
【核心字段列表】:
事件 ID (EventId): 4781 (查询对象名称)
事件时间 (TimeCreated): 2024-12-01T09:36:49.6663761+00:00
计算机名 (Computer): WIN-2RLPM8TI7OE
操作者用户名 (SubjectUserName): WIN-2RLPM8TI7OE$
操作者域 (SubjectDomainName): WORKGROUP
操作者 SID (SubjectUserSid): S-1-5-18
目标对象名称 (NewTargetUserName): Print Operators
目标对象域 (TargetDomainName): Builtin
目标对象 SID (TargetSid): S-1-5-32-550
进程 ID (ProcessId): 556
操作结果 (Keywords): Audit success (表示操作成功)
日志IP (logip): 192.168.137.149
1.3 组管理
【核心字段列表】:
事件 ID (EventId): 4731 (已创建安全本地组)
事件时间 (TimeCreated): 2024-12-03T14:57:00.5769890+00:00
计算机名 (Computer): 2016-AD-PC.ying.com
操作者用户名 (SubjectUserName): Administrator
操作者域 (SubjectDomainName): YING
操作者 SID (SubjectUserSid): S-1-5-21-1401213744-3765591385-282902192-500
目标组名称 (TargetUserName): TestLocalGroup
目标组域 (TargetDomainName): YING
目标组 SID (TargetSid): S-1-5-21-1401213744-3765591385-282902192-1602
目标组 SAM 账户名称 (SamAccountName): TestLocalGroup
进程 ID (ProcessId): 724
操作结果 (Keywords): Audit success
日志IP (logip): 192.168.137.160
【核心字段列表】:
事件 ID (EventId): 4732 (将成员添加到本地组)
事件时间 (TimeCreated): 2024-12-05T10:49:21.2558860+00:00
计算机名 (Computer): WIN-2RLPM8TI7OE
操作者用户名 (SubjectUserName): Administrator
操作者域 (SubjectDomainName): WIN-2RLPM8TI7OE
操作者 SID (SubjectUserSid): S-1-5-21-291899444-3403010305-3658075176-500
目标组名称 (TargetUserName): Administrators (高权限)
目标组域 (TargetDomainName): Builtin
目标组 SID (TargetSid): S-1-5-32-544
被添加成员 SID (MemberSid): S-1-5-21-291899444-3403010305-3658075176-1000 (本地普通用户)
进程 ID (ProcessId): 596
操作结果 (Keywords): Audit success
日志IP (logip): 192.168.137.166
【核心字段列表】:
事件 ID (EventId): 4735 (已修改本地组)
事件时间 (TimeCreated): 2024-12-03T14:57:00.5778185+00:00
计算机名 (Computer): 2016-AD-PC.ying.com
操作者用户名 (SubjectUserName): Administrator
操作者域 (SubjectDomainName): YING
操作者 SID (SubjectUserSid): S-1-5-21-1401213744-3765591385-282902192-500
目标组名称 (TargetUserName): TestLocalGroup
目标组域 (TargetDomainName): YING
目标组 SID (TargetSid): S-1-5-21-1401213744-3765591385-282902192-1602
进程 ID (ProcessId): 724
操作结果 (Keywords): Audit success
日志IP (logip): 192.168.137.160
1.4 其他
【核心字段列表】:
事件 ID (EventId): 1102 (已清除审核日志)
事件时间 (TimeCreated): 2024-12-05T10:47:24.6903757+00:00
计算机名 (Computer): WIN-2RLPM8TI7OE
进程 ID (ProcessId): 68
日志IP (logip): 192.168.137.166
作者声明:
本人是一名学习两年半的安全工程师,文章内容可能存在错误或不足之处,请各位读者保持批判性思维,独立思考。我坚信:每个人都可以写出更好的工具,更好的方案!
标签:en,zh,name,Windows,安全,进程,日志,ID,description From: https://www.cnblogs.com/o-O-oO/p/18594573原创 鹰鹰网安