Windows日志分析(上)
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。
多年来,微软不断提高其审计设施的效率和有效性。 现代 Windows 系统可以以最小的系统影响记录大量信息。
一般来说企业会选择一种工具来获取日志,这个工具叫做Security information and event management(SIEM)即安全,信息和事件管理。
在 Windows 系统上配置足够的日志记录,并在理想情况下将这些日志聚合到 SIEM 或其他日志聚合器中,能够确保我们在SIEM中的搜索语句找到自己想要的日志。文章来源:https://www.toymoban.com/news/detail-467721.html
1. 事件日志格式
现代 Windows 系统默认以二进制 XML Windows 事件日志格式将日志存储在 %SystemRoot%\System32\winevt\logs 目录中,后缀名为.evtx 。也可以使用日志订阅远程存储日志。
事件可以记录在不同地方的日志当中,例如:安全、系统和应用程序事件,它们也可能出现在其他几个日志文件中。 安装程序事件日志记录安装 Windows 期间发生的活动。
文章来源地址https://www.toymoban.com/news/detail-467721.html
- Forwarded Logs 事件日志是记录从其他系统接收到的事件的默认位置。 但还有许多其他日志,列在事件查看器中的应用程序和服务日志下,记录与特定类型活动相关的详细信息。
- Log Name(日志名称): 这是存储事件的事件日志的名称,当我们在同一个系统当中提取大量的日志的时候,会很有用(例如用作索引).
- Source(源): 生成事件的服务(Services)、Microsoft的组件或者应用程序。
- Event ID(事件ID): 分配给每个类型的审计活动的代码。
- Level(级别): 分配给相关事件的严重性
- User(用户):出发这个事件所涉及的用户或源。但是这个字段的用户通常表示的是系统而不是记录事件原因的用户。
- OpCode: 由生成的日志的源来分配。
- Logged: 记录事件的本地系统日期和事件
- Task Category(任务分类): 由生成日志的源分配。
- Keywords(关键字): 由源分配,用于对事件进行分组或者排序。
- Computer(计算机): 记录事件的计算机。这个在我们检查多个计算机的日志的时候很有用,但是我们通常不会讲它作为导致事件的设备。一个经典的例子(当启动远程登录的时候-mstsc(Microsoft terminal services client)计算机字段扔回显示记录事件的系统的名称,不是连接的来源)
- Description(描述): 记录了事件的附加信息,这个描述一般为安全分析师或者蓝队最重要的领域。
2. Windows日志分析的类型
- 账户管理系统事件
- 账户登录和登录事件
- 常见的事件ID4768结果的代码
- 登录事件类型以及代码说明
- 常见的登录失败状态码
- 访问共享对象(例如smb)
- 计划任务日志
- 对象访问审计
- 审计政策变更
- 审核Windows服务
- 无线局域网(WLAN)审计
- 过程跟踪
- 附加程序执行记录
- PowerShell审核
1. 账户管理系统事件
| 事件ID | 描述 | Description |
|---|---|---|
| 4720 | 一个用户被创建了 | A user account was created. |
| 4722 | 一个用户被启用了 | A user account was enabled. |
| 4723 | 用户试图更改帐户的密码 | A user attempted to change an account’s password. |
| 4724 | 尝试重置帐户密码 | An attempt was made to reset an account’s password. |
| 4725 | 一个用户账户被禁用 | A user account was disabled. |
| 4726 | 一个账户被删除了 | A user account was deleted. |
| 4727 | 创建了一个启用安全性的全局组 | A security-enabled global group was created. |
| 4728 | 成员已添加到启用安全性的全局组 | A member was added to a security-enabled global group. |
| 4729 | 已从启用安全性的全局组中删除成员 | A member was removed from a security-enabled global group. |
| 4730 | 已删除启用安全性的全局组 | A security-enabled global group was deleted. |
| 4731 | 已创建启用安全性的本地组 | A security-enabled local group was created. |
| 4732 | 成员已添加到启用安全性的本地组 | A member was added to a security-enabled local group. |
| 4733 | 已从启用安全性的本地组中删除成员 | A member was removed from a security-enabled local group. |
| 4734 | 已删除启用安全性的本地组 | A security-enabled local group was deleted. |
| 4735 | 启用了安全性的本地组已更改 | A security-enabled local group was changed. |
| 4737 | 启用了安全性的全局组已更改 | A security-enabled global group was changed. |
| 4738 | 用户帐户已更改 | A user account was changed. |
| 4741 | 创建了一个计算机帐户 | A computer account was created. |
| 4742 | 一个计算机账户已被更改 | A computer account was changed. |
| 4743 | 一个计算机账户已被删除< |
到了这里,关于Windows日志分析(上)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
