Windows日志分析宝典|事件响应指南(中)
前排提示: 使用手机预览的时候, 横屏预览更佳~
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。
多年来,微软不断提高其审计设施的效率和有效性。 现代 Windows 系统可以以最小的系统影响记录大量信息。
一般来说企业会选择一种工具来获取日志,这个工具叫做Security information and event management(SIEM) ,安全,信息和事件管理。
在 Windows 系统上配置足够的日志记录,并在理想情况下将这些日志聚合到 SIEM 或其他日志聚合器中,能够确保我们在SIEM中的搜索语句找到自己想要的日志。
接上篇
访问共享对象
攻击者经常利用有效凭据通过用户创建或管理共享来远程访问数据。 这样做会生成如上所述的帐户登录和登录事件,但我们也同样可以通过导航到计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 高级审核策略配置 -> 在组策略管理控制台中启用其他日志记录审计策略 -> 对象访问 -> 审计文件共享。 启用后,以下事件 ID 将记录在安全日志中:文章来源:https://www.toymoban.com/news/detail-460637.html
网络共享事件ID:
| 事件ID | 描述 | Description |
|---|---|---|
| 5140 | 访问了网络共享对象。事件条目提供访问对象的帐户的帐户名称和源地址。请注意,此条目将显示共享已被访问,但不会显示共享中的哪些文件已被访问。来自单个帐户的大量此类事件可能表明该帐户正在用于收集或映射网络上的数据。 | A network share object was accessed. The event entry provides the account name and source address of the account that accessed the object. Note that this entry will show that the share was accessed but not what files in the share were accessed. A large number of these events from a single account may be an indicator of an account being used to harvest or map data on the network. |
| 5142 | 添加了网络共享对象。 | A network share object was added. |
| 5143 | 修改了网络共享对象。 | A network share object was modified. |
| 5144 | 网络共享对象已删除。 | A network share object was deleted. |
| 5145 | 检查网络共享对象以查看是否可以授予客户端所需的访问权限。仅当权限在文件共享级别被拒绝时才会记录失败。如果在NTFS 级别拒绝许可,则不记录任何条目。 | A network share object was checked to see whether client can be granted desired access. Failure is only logged if the permission is denied at the file share level. If permission is denied at the NTFS level then no entry is recorded. |
如果通过计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 高级审核策略配置 -> 审核策略 -> 对象访问 -> 审核详细文件共享,在组策略管理控制台中启用了详细文件共享审核, 那么每个共享中被访问的每个文件都将生成一个事件文章来源地址https://www.toymoban.com/news/detail-460637.html
到了这里,关于Windows日志分析(中)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
