【整理】 【Windows系列】Windows安全日志分析实战:关键事件+详解

news/2024/11/15 16:42:08/文章来源:https://www.cnblogs.com/o-O-oO/p/18384492

参考🔗:

https://mp.weixin.qq.com/s?__biz=MzI5MjY4MTMyMQ==&mid=2247485189&idx=1&sn=f97aca178ab188d35e3182bf89ddf4dc&chksm=ec7ce403db0b6d151ee60369468e79229d8d3a264edb2967d7bd2ecdcd69e93af2abfb68dd1c&cur_album_id=3541179802739621890&scene=189#wechat_redirect

事件ID 1116 - 防病毒软件检测到恶意软件

这个事件记录了Windows Defender检测到恶意软件的情况。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。

事件ID 4624 - 账户登录成功

通过监控这些登录事件,我们可以跟踪谁在何时访问了系统。留意异常的访问模式,可能暗示未经授权的活动。

事件ID 4625 - 账户登录失败

登录失败尝试由此事件ID记录。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。通过密切关注这些事件,我们可以及早发现可疑行为并采取行动。

事件ID 4672 - 为新登录分配特殊权限

当用户被授予特殊权限时,会生成此事件。这对于发现权限提升至关重要,因为它可能表明攻击者正在获得更高级别的访问权限。定期检查这些日志有助于确保权限变更的合法性。

事件ID 4688 - 新进程创建

此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。跟踪进程创建有助于及早发现潜在威胁。

事件ID 4689 - 进程终止

当进程终止时,会触发此事件。这有助于了解进程的生命周期,并可用于与进程创建事件相关联。这是监控系统活动的另一个重要环节。

事件ID 4720 - 用户账户创建

此事件记录了新用户账户的创建。这对于监控谁被添加到系统中以及确保账户创建符合组织政策至关重要。意外出现的新账户可能是一个危险信号。

事件ID 4726 - 用户账户删除

当用户账户被删除时,会记录此事件。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。监控这些事件可以确保账户管理的安全性。

事件ID 4732 - 成员被添加到启用安全的本地组

此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。

事件ID 4771 - Kerberos预身份验证失败

这个事件类似于4625(登录失败),但专门针对Kerberos身份验证。如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。

事件ID 5001 - 防病毒实时保护配置已更改

此事件表明Defender的实时保护设置已被修改。未经授权的更改可能表明有人试图禁用或破坏Defender的功能。

事件ID 5140 - 网络共享访问

事件ID 5140记录了对网络共享的访问。

这对于检测未经授权的文件访问或数据泄露非常有用。通过监控网络共享访问,我们可以确保文件共享实践的安全性。

事件ID 5156 - Windows筛选平台(WFP)允许网络连接

此事件捕获了Windows筛选平台允许的网络连接。它有助于识别异常或未经授权的网络流量,这对维护网络安全至关重要。

事件ID 5158 - Windows筛选平台已允许绑定到本地端口

当WFP阻止网络连接时,会生成事件ID 5158。这有助于了解哪些网络流量被阻止,并排除任何潜在的安全问题。

事件ID 7045 - 系统中安装了服务

突然出现未知服务可能表明恶意软件安装,因为许多类型的恶意软件会将自己安装为服务。

。。。。。。。。

总结

了解这些Windows事件ID对于安全分析师来说至关重要。通过密切关注这些关键日志,我们可以:

及时发现可疑活动
跟踪用户行为
监控系统变更
快速响应潜在威胁

掌握这些事件ID不仅有助于我们应对安全事件,还能增强整体安全策略。保持警惕,善用这些洞察,让我们共同守护系统安全,保护组织免受攻击。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/788523.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【ROS教程】ROS文件系统和基础架构

@目录1.工作空间目录1.1 package.xml2.启动节点的方式2.1 一次启动一个2.2 一次启动多个3.ROS常用命令3.1 增3.2 查3.3 执行3.3.1 加载环境变量3.3.2 运行节点3.4 查看计算图4.创建功能包4.1 选择工作目录4.2 创建功能包目录4.3 建立功能包1.工作空间目录WorkSpace --- 自定义的…

沉浸式体验吸尘器产品的3D可视化盛宴

在这个科技日新月异的时代,每一个细微之处都蕴含着创新的火花,而家居清洁作为我们日常生活中不可或缺的一环,也正在经历一场前所未有的变革。大家可以想象一下,无需亲临实体店,只需轻点鼠标或滑动屏幕,一款款精心设计的吸尘器便以3D形态跃然眼前,仿佛触手可及。这不仅仅…

Valid注解

文章链接地址:https://blog.csdn.net/m0_58680865/article/details/127817779文章目录前言 一、@Valid注解1、源码解析 2、所属的包 3、参数校验使用注解(1)空校验 (2)Boolean校验 (3)长度校验 (4)日期校验 (5)数值校验 (6)其他校验4、具体使用使用 @Valid 进行参…

【ACMMM2024】Multi-Scale and Detail-Enhanced Segment Anything Model for Salient Object Detection

论文:https://arxiv.org/pdf/2408.04326 代码:https://github.com/BellyBeauty/MDSAM论文的研究动机就是使用SAM来解决显著性检测(SOD)问题,主要有两个改进:提出了Lightweight Multi-Scale Adapter, LMSA来微调SAM 提出了Multi-Level Fusion Module, MLFM 和 Detail Enha…

Amazon Bedrock 实践:零基础创建贪吃蛇游戏

本文探讨了如何利用 Amazon Bedrock 和大型语言模型,快速创建经典的贪吃蛇游戏原型代码。重点展示了利用提示工程,将创新想法高效转化为可运行代码方面的过程。文章还介绍了评估和优化提示词质量的最佳实践。亚马逊云科技开发者社区为开发者们提供全球的开发技术资源。这里有…

题解:P11000 [蓝桥杯 2024 省 Python B] 数字串个数

P1100,纪念这个特别的数字,来水一篇。用 \(1 \sim 9\) 没有任何特殊情况的方法数:\(9^{10000}\)。 排除没有 \(3\) 和 \(7\) 的方法。 \(9^{10000} - 8^{10000} - 8^{10000}\) 加上 \(3\) 和 \(7\) 混一起的方法数。 \(9^{10000} - {(9 - 1)}^{10000} - {(9 - 1)}^{10000} +…

【音视频通话】使用asp.net core 8+vue3 实现高效音视频通话

引言在三年前,写智能小车的时候,当时小车上有一个摄像头需要采集,实现推拉流的操作,技术选型当时第一版用的是nginx的rtmp的推拉流,服务器的配置环境是centos,2H4G3M的一个配置,nginx的rtmp的延迟是20秒,超慢,后来研究了SRS以及ZLMediaKit这两个开源的推拉流服务器,没…

免费、开源、详细完整的unity游戏、游戏源码、教程:人工智能分析和处理对话的美好三维世界(定期更新)

免费、开源、详细完整的unity游戏、游戏源码、教程:人工智能分析和处理对话的美好三维世界。这份unity游戏、游戏源码、教程:完全免费,完全开源,完整详细,通俗易懂,适合初学者入门,定期更新。 我不想和任何人说话,任何人不要跟我说话,不要打扰我,我要安安静静的写。我…

小企业必备:优选局域网文档管理软件推荐

国内外主流的10款局域网文档管理软件对比:1.PingCode;2.Worktile;3.语雀;4.联想Filez企业网盘;5.亿方云;6.黑域基地;7.Joplin;8.MediaWiki;9.TiddlyWiki;10.Zim Wiki。在处理局域网文档时,企业常常面临着文件管理不系统、数据安全性差等问题,这不仅影响团队协作效率…

机器学习之——决策树信息熵计算[附加计算程序]

0 前言本文主要讲述了决策树背后的信息熵的公式含义及计算方式,并列举出多道例题帮助理解。1 信息熵的定义 1.1 信息熵公式笔者使用下图(1-1)直观理解信息熵的含义。信息熵越大,表示该随机变量的不确定性越高。对于均匀分布,信息熵达到最大值。 1.2 证明:对于均匀分布,信息…

phpinclude-labs做题记录

Level 1 file协议payload:?wrappers=/flag Level 2 data协议 去包含data协议中的内容其实相当于进行了一次远程包含,所以data协议的利用条件需要 php.ini 中开启 allow_url_fopen 和 allow_url_include GET: ?wrappers=, 然后 POST:helloctf=system(cat /flag); Level 3 dat…

数据结构学习第一周

本文需要掌握的知识 1.认识数据结构 2.了解数据结构(逻辑结构)的分类 3.内存储器模型以及分配方式(物理结构) 4.认识Node类 5.简单了解泛型1 .数据结构(D-S/Data Structure) 1.1简介 1.1.1数据 分为原子数据和复合数据 1.1.2结构 分为逻辑结构和物理结构数据结构是由数据和数…