windows终端事件日志监控指南
windows事件监控指南
推荐收集的活动日志
账户使用情况
收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,添加到特权组的用户以及帐户锁定。 值得注意的是,你要特别关注那些被提升为特权组的用户帐户,以确保用户被提升到特权组的行为是正常的,经过内部审核的,而不是未授权的。 未经审核授权的特权组成员是发现恶意活动的有力证明。
域帐户的锁定事件在域控制器上生成,而本地帐户的锁定事件在本地计算机上生成。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 账户锁定 | 4740 | Information | windows 安全日志 | windows 安全审核 |
| 使用显式凭据登录帐户 | 4648 | Information | windows 安全日志 | windows 安全审核 |
| 帐户名称已更改 | 4781 | Information | windows 安全日志 | windows 安全审核 |
| 将成员从启用安全的本地组中移除 | 4733 | Information | windows 安全日志 | windows 安全审核 |
| 创建档案失败 | 1518 | Error | windows 应用日志 | Windows用户配置文件服务 |
| 凭证身份验证 | 4776 | Information | windows 安全日志 | windows 安全审核 |
| 证书备份 | 5376 | Information | windows 安全日志 | windows 安全审核 |
| 证书已恢复 | 5377 | Information | windows 安全日志 | windows 安全审核 |
| 用户帐户登录失败 | 4625 | Information | windows 安全日志 | windows 安全审核 |
| 组分配给新会话 | 300 | Information | Microsoft-Windows-LSA/Operational | LsaSrv |
| 注销事件 | 4634 | Information | windows 安全日志 | windows 安全审核 |
| 给新登录分配特权 | 4672 | Information | windows 安全日志 | windows 安全审核 |
| 创建了用户帐户 | 4720 | Information | windows 安全日志 | windows 安全审核 |
| 已启用用户账户 | 4722 | Information | windows 安全日志 | windows 安全审核 |
| 密码hash帐户被访问 | 4782 | Information | windows 安全日志 | windows 安全审核 |
| 已调用密码策略检查API | 4793 | Information | Windows 安全日志 | windows 安全审核 |
| 已创建启用安全的本地组 | 4731 | Information | windows 安全日志 | windows 安全审核 |
| 安全本地组已经更改 | 4735 | Information | windows 安全日志 | windows 安全审核 |
| 尝试向一个帐户的 SID 历史记录失败 | 4766 | Information | windows 安全日志 | windows 安全审核 |
| SID历史记录被添加到一个帐户 | 4765 | Information | windows 安全日志 | windows 安全审核 |
| 用户账户成功登陆 | 4624 | Information | windows 安全日志 | windows 安全审核 |
| 临时配置文件登录 | 1511 | Error | windows 应用日志 | Windows用户配置文件服务 |
| 用户帐户被删除 | 4726 | Information | windows 安全日志 | windows 安全审核 |
| 用户帐户已禁用 | 4725 | Information | windows 安全日志 | windows 安全审核 |
| 用户帐户已解锁 | 4767 | Information | windows 安全日志 | windows 安全审核 |
| 用户已添加到特权组 | 4728, 4732, 4756 | Information | windows 安全日志 | windows 安全审核 |
| 用户权限已分配 | 4704 | Information | windows 安全日志 | windows 安全审核 |
应用程序崩溃
应用程序崩溃可能需要调查以确定崩溃是恶意还是良性。 崩溃的类别包括蓝屏死机(BSOD),Windows错误报告(WER),应用程序崩溃和应用程序挂起事件。 如果你的组织正在积极使用Microsoft增强型缓解体验工具包(EMET),则还可以收集EMET日志。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| App Crash | 1000 | Error | 应用程序日志 | Application Error |
| App Error | 1000 | Error | 应用程序日志 | Application Error |
| App Hang | 1002 | Error | 应用程序日志 | Application Hang |
| BSOD | 1001 | Error | 系统日志 | Microsoft-Windows-WER-SystemErrorReporting |
| WER | 1001 | Information | 应用程序日志 | Windows Error Reporting |
应用程序白名单
应收集应用程序白名单事件以查找已被阻止执行的应用程序。 任何被阻止的应用程序都可能是恶意软件或试图运行未经批准的软件/用户。 Windows XP及更高版本支持软件限制策略(SRP)。 AppLocker功能仅适用于Windows 7及更高版本的Enterprise和Ultimate版本。 如果在网络上主动使用SRP或AppLocker,则可以收集应用程序白名单事件。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 已安装应用程序 | 8023 | Information | Microsoft-Windows-AppLocker/Packaged app-Deployment | Microsoft-Windows-AppLocker |
| 应用程序运行 | 8020 | Information | Microsoft-Windows-AppLocker/Packaged app-Execution | Microsoft-Windows-AppLocker |
| AppLocker Block | 8002 | Information | Microsoft-Windows-AppLocker/EXE and DLL | Microsoft-Windows-AppLocker |
| AppLocker Block | 8003 | Error | Microsoft-Windows-AppLocker/EXE and DLL | Microsoft-Windows-AppLocker |
| AppLocker Block | 8004 | Warning | Microsoft-Windows-AppLocker/EXE and DLL | Microsoft-Windows-AppLocker |
| AppLocker Warning | 8006 | Error | Microsoft-Windows-AppLocker/MSI and Script | Microsoft-Windows-AppLocker |
| AppLocker Warning | 8007 | Warning | Microsoft-Windows-AppLocker/MSI and Script | Microsoft-Windows-AppLocker |
| 进程创建 | 4688 | Information | windows 安全日志 | Microsoft-Windows-Security-Auditing |
| 进程结束 | 4689 | Information | windows 安全日志 | Microsoft-Windows-Security-Auditing |
| 脚本或安装程序运行 | 8005 | Information | Microsoft-Windows-AppLocker/MSI and Script | Microsoft-Windows-AppLocker |
| SRP Block | 865, 866, 867, 868, 882 | Warning | windows 应用日志 | Microsoft-Windows-SoftwareRestrictionPolicies |
引导事件
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 关机启动失败 | 1074 | Warning | User32 | User32 |
| windows 关机 | 13 | Information | System | Microsoft-Windows-Kernel-General |
| Windows 开机 | 12 | Information | System | Microsoft-Windows-Kernel-General |
证书服务
证书服务通过RPC或HTTP接收数字证书请求。 对于不依赖外部证书颁发机构的组织,可以自定义策略和设置以支持组织的要求。 可以收集以下事件以确保预期使用。 有关其他信息,请参阅TechNet文章,题为证书服务生命周期通知和Microsoft 安全博客文章标题为保护公钥基础设施的新指南
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| ID级别事件日志事件SourceCA权限已损坏或丢失 | 95 | Error | windows 应用日志 | windows 证书颁发机构 |
| CA服务请求 | 4886 | Information | windows 安全日志 | windows 安全审核 |
| 证书管理员设置已更改 | 4890 | Information | windows 安全日志 | windows 安全审核 |
| 证书申请属性已更改 | 4874 | Information | windows 安全日志 | windows 安全审核 |
| 证书申请延期已更改 | 4873 | Information | windows 安全日志 | windows 安全审核 |
| 证书被撤销 | 4870 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务批准的请求 | 4887 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务审核筛选器已更改 | 4885 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务配置已更改 | 4891 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务拒绝请求 | 4888 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务加载模板 | 4898 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务权限已更改 | 4882 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务属性已更改 | 4892 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务已启动 | 4880 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务已停止 | 4881 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务模板安全已更新 | 4900 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务模板已更新 | 4899 | Information | windows 安全日志 | windows 安全审核 |
| 从证书数据库中删除的条目 | 4896 | Information | windows 安全日志 | windows 安全审核 |
| 进口证书 | 1006 | Information | windows证书服务客户端生命周期系统/操作 | Windows证书服务客户端生命周期系统 |
| 删除证书 | 1004 | Information | windows证书服务客户端生命周期系统/操作 | Windows证书服务客户端生命周期系统 |
| 出口证书 | 1007 | Information | windows证书服务客户端生命周期系统/操作 | Windows证书服务客户端生命周期系统 |
| 证书即将到期 | 1003 | Warning | windows证书服务客户端生命周期系统/操作 | Windows证书服务客户端生命周期系统 |
| 替换证书 | 1001 | Information | windows证书服务客户端生命周期系统/操作 | Windows证书服务客户端生命周期系统 |
| 过期证书 | 1002 | Error | windows证书服务客户端生命周期系统/操作 | Windows证书服务客户端生命周期系统 |
清除事件日志
在正常操作期间不太可能清除事件日志数据,但是恶意攻击者可能会通过清除事件日志来尝试覆盖其踪迹。 当事件日志被清除时,它是可疑的。 集中收集事件还有一个额外的好处,就是让攻击者更难以掩盖他们的踪迹。 事件转发允许源将收集的事件的多个副本转发给多个收集器,从而实现冗余事件收集。 使用冗余事件收集模型可以最大限度地降低单点故障风险。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 事件日志服务关闭 | 1100 | Information | windows安全日志 | Microsoft-Windows-EventLog |
| 事件日志已清除 | 104 | Information | windows系统日志 | Microsoft-Windows-Eventlog |
| 事件日志已清除 | 1102 | Information | windows安全日志 | Microsoft-Windows-Eventlog |
DNS/目录服务
恶意或滥用的软件通常可以尝试解析列入黑名单或可疑的域名。 建议收集DNS查询和响应,以便通过安全分析发现泄露或入侵痕迹。
只有在启用增强审核的情况下才会记录下列多个事件ID。 请参阅使用Windows DNS分析日志记录的网络取证更多信息。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 目录服务已创建 | 5137 | Information | windows 安全日志 | windows 安全审核 |
| 目录服务已删除 | 5141 | Information | windows 安全日志 | windows 安全审核 |
| 目录服务已修改 | 5136 | Information | windows 安全日志 | windows 安全审核 |
| 目录服务已移动 | 5139 | Information | windows 安全日志 | windows 安全审核 |
| 目录服务已恢复 | 5138 | Information | windows 安全日志 | windows 安全审核 |
| DNS查询完成 | 3008 | Information | windows DNS客户端/操作 | windows DNS客户端 |
| DNS请求/响应 | 256, 257 | Information | windows DNS服务器/分析 | windows DNS客户端 |
| DNS响应完成 | 3020 | Information | windows DNS客户端/操作 | windows DNS客户端 |
外部设备(U盘)检测
在某些环境中,例如物理环境内,检测USB设备(例如,大容量存储设备)的使用是很重要的。 本节试图采取主动的方式实时检测USB插入。 事件ID 43仅在某些情况下出现。 以下事件和事件日志仅适用于Windows 8及更高版本。
Microsoft-Windows-USB-USBHUB3-Analytic本身不是事件日志; 它是一个跟踪会话日志,它将跟踪事件存储在事件跟踪日志(.etl)文件中。 由Microsoft-Windows-USB-USBHUB3发布者创建的事件将发送到直接通道(即分析日志),并且无法订阅以进行事件收集。 管理员应该寻求一种收集和分析此事件的替代方法(43)。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 新设备信息 | 43 | Information | Microsoft-Windows-USB-USBHUB3-Analytic | Microsoft-Windows-USB-USBHUB3 |
| 新的存储安装 | 400, 410 | Information | Microsoft-Windows-Kernel-PnP/Device Configuration | Microsoft-Windows-Kernel-PnP |
组策略错误
域计算机的管理允许管理员通过组策略提高对这些机器的安全性和监管。 由于组策略错误而无法应用策略会降低上述优点。 管理员应立即调查这些事件。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 通用内部错误 | 1126 | Error | System | Microsoft-Windows-GroupPolicy |
| 由于连接,组策略应用程序失败 | 1129 | Error | System | Microsoft-Windows-GroupPolicy |
| 内部错误 | 1125 | Error | System | Microsoft-Windows-GroupPolicy |
内核驱动程序签名
在64位版本的Windows Vista中引入内核驱动程序签名可以显着提高防止在内核中插入恶意驱动程序或活动的能力。 受保护驱动程序被更改的任何迹象都可能表示恶意活动或磁盘错误,并需要进行调查。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 代码完整性检查 | 3001, 3002, 3003, 3004, 3010, 3023 | Warning, Error | Windows代码完整性/可操作性 | Windows代码完整性 |
| 检测到文件的无效图像哈希 | 5038 | Information | windows 安全日志 | windows安全审核 |
| 检测到图像文件的无效页面哈希 | 6281 | Information | windows 安全日志 | windows安全审核 |
| 内核驱动程序加载失败 | 219 | Warning | windows 系统日志 | Windows内核PnP |
Microsoft Cryptography API
Microsoft CryptoAPI可用于证书验证和数据加密/解密。 对于可疑行为或将来的审计,可以记录下许多有趣的事件。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| Cert Trust Chain Build Failed | 11 | Information | Microsoft-Windows-CAPI2/Operational | Microsoft-Windows-CAPI2 |
| Private Key Accessed | 70 | Information | Microsoft-Windows-CAPI2/Operational | Microsoft-Windows-CAPI2 |
| X.509 Object | 90 | Information | Microsoft-Windows-CAPI2/Operational | Microsoft-Windows-CAPI2 |
移动设备活动
无线设备无处不在,记录企业无线设备活动的需求可能至关重要。 无论用于通信的协议(例如,802.11或蓝牙)如何,无线设备在不同网络之间旅行时可能会受到危害。 因此,跟踪移动设备正在进入和退出的网络对于防止进一步的妥协是有用的。 以下事件的创建频率取决于设备断开连接并重新连接到无线网络的频率。 下面的每个事件都提供了大部分类似的信息,但在某些事件中添加了其他字段。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 断开无线连接 | 8003 | Information | Microsoft-Windows-WLAN-AutoConfig/Operational | Microsoft-Windows-WLAN-AutoConfig |
| 网络连接和断开状态(有线和无线) | 10000, 10001 | Information | Microsoft-Windows-NetworkProfile/Operational | Microsoft-Windows-NetworkProfile |
| 启动无线连接 | 8000, 8011 | Information | Microsoft-Windows-WLAN-AutoConfig/Operational | Microsoft-Windows-WLAN-AutoConfig |
| 已成功连接到无线连接 | 8001 | Information | Microsoft-Windows-WLAN-AutoConfig/Operational | Microsoft-Windows-WLAN-AutoConfig |
| 无线关联状态 | 11000, 11001 | Information | Microsoft-Windows-WLAN-AutoConfig/Operational | Microsoft-Windows-WLAN-AutoConfig |
| 无线关联状态 | 11002 | Error | Microsoft-Windows-WLAN-AutoConfig/Operational | Microsoft-Windows-WLAN-AutoConfig |
| 无线认证启动和失败 | 12011, 12012 | Information | Microsoft-Windows-WLAN-AutoConfig/Operational | Microsoft-Windows-WLAN-AutoConfig |
| 无线认证启动和失败 | 12013 | Error | Microsoft-Windows-WLAN-AutoConfig/Operational | Microsoft-Windows-WLAN-AutoConfig |
| 无线连接失败 | 8002 | Error | Microsoft-Windows-WLAN-AutoConfig/Operational | Microsoft-Windows-WLAN-AutoConfig |
| 无线安全性已启动,已停止,成功或失败 | 11004, 11005 | Information | Microsoft-Windows-WLAN-AutoConfig/Operational | Microsoft-Windows-WLAN-AutoConfig |
| 无线安全性已启动,已停止,成功或失败 | 11010, 11006 | Error | Microsoft-Windows-WLAN-AutoConfig/Operational | Microsoft-Windows-WLAN-AutoConfig |
主机网络活动
监视网络活动可以以多种方式执行,范围从直接检测流量的网络传感器到收集由执行网络活动的客户端或服务器生成的间接伪像。 Windows主机生成与网络活动有关的日志工件,以协助网络故障排除和检测由主机发生或针对主机发生的异常网络流量,例如横向移动,未经授权的网络策略更改,未经授权的网络连接以及网络资源的异常操纵(例如,意外的) 快速创建和删除文件共享)。 以下事件需要启用审核其他策略更改,审核身份验证策略更改,审核Kerberos服务票证操作,审核网络策略服务器,审核文件共享 ,审核认证服务,审核策略更改,以及审核其他登录/注销事件组策略。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 加密数据恢复策略已更改 | 4714 | Information | Security | Microsoft-Windows-Security-Auditing |
| Kerberos策略已更改 | 4713 | Information | Security | Microsoft-Windows-Security-Auditing |
| Kerberos服务票务要求失败 | 4769 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络策略服务器拒绝访问 | 6273 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络策略服务器丢弃的请求 | 6275 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络策略服务器丢弃请求 | 6274 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络策略服务器授予访问权限 | 6272 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络策略服务器授予完全访问权限 | 6278 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络策略服务器授予试用访问权限 | 6277 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络策略服务器锁定帐户 | 6279 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络策略服务器隔离用户 | 6276 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络策略服务器已解锁帐户 | 6280 | Information | Security | Microsoft-Windows-Security-Auditing |
| 访问网络共享 | 5140 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络共享已检查 | 5145 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络共享创建 | 5142 | Information | Security | Microsoft-Windows-Security-Auditing |
| 网络共享删除 | 5144 | Information | Security | Microsoft-Windows-Security-Auditing |
| 域名新信任 | 4706 | Information | Security | Microsoft-Windows-Security-Auditing |
| 出站TS连接尝试 | 1024 | Information | Microsoft-Windows-TerminalServices-RDPClient/Operational | Microsoft-Windows-TerminalServices-ClientActiveXCore |
| RADIUS用户分配了IP | 20250 | Success | RemoteAccess | Microsoft-Windows-MPRMSG |
| RADIUS用户通过身份验证 | 20274 | Success | RemoteAccess | Microsoft-Windows-MPRMSG |
| RADIUS用户已断开连接 | 20275 | Success | RemoteAccess | Microsoft-Windows-MPRMSG |
| 角色分离已启用 | 4897 | Information | Security | Microsoft-Windows-Security-Auditing |
| 系统审核政策已更改 | 4719 | Information | Security | Microsoft-Windows-Security-Auditing |
| 受信任的域信息已修改 | 4716 | Information | Security | Microsoft-Windows-Security-Auditing |
| TS会话断开连接 | 4779 | Information | Security | Microsoft-Windows-Security-Auditing |
| TS会话重新连接 | 4778 | Information | Security | Microsoft-Windows-Security-Auditing |
| 无线802.1X身份验证 | 5632 | Information | Security | Microsoft-Windows-Security-Auditing |
传递哈希检测
跟踪用户帐户以检测传递哈希(PtH)需要使用XML创建自定义视图以配置更高级的筛选选项。事件查询语言基于XPath。下面推荐的QueryList 仅限于检测PtH攻击。这些查询侧重于发现攻击者使用不属于域的本地帐户进行横向移动。 **QueryList **捕获显示本地帐户尝试远程连接到不属于域的另一台计算机的事件。这个事件是非常罕见的,所以任何此类事件都应该被视为可疑。
下面的这些XPath查询用于事件查看器的自定义视图。
成功使用PtH进行工作站之间的横向移动将从安全日志中触发事件ID 4624,其具有事件级别的信息。这种行为是使用NTLM身份验证的**LogonType ** 3,它不是域登录也不是ANONYMOUS LOGON帐户。要清楚地总结正在收集的事件,请参阅下面的事件4624。
在下面的**QueryList **中,将部分替换为所需的域名。
尝试使用PtH横向移动时失败的登录尝试将触发事件ID 4625.这将使用NTLM身份验证的**LogonType **为3,其中它不是域登录也不是ANONYMOUS LOGON帐户。要清楚地总结正在收集的事件,请参阅下面的事件4625。
<QueryList><Query Id="0" Path="Forwarded Events"><Select Path="ForwardedEvents">*[System[(Level=4 or Level=0) and (EventID=4624)]]and*[EventData[Data[@Name='LogonType'] and (Data='3')]]and*[EventData[Data[@Name='TargetUserName'] != 'ANONYMOUS LOGON']]and*[EventData[Data[@Name='TargetDomainName'] != '<DOMAIN NAME>']]</Select></Query>
</QueryList>
<QueryList><Query Id="0" Path="Forwarded Events"><Select Path="ForwardedEvents">*[System[(Level=4 or Level=0) and (EventID=4625)]]and*[EventData[Data[@Name='AuthenticationPackageName'] and (Data='3')]]and*[EventData[Data[@Name='TargetUserName'] != 'ANONYMOUS LOGON']]and*[EventData[Data[@Name='TargetDomainName'] != '<DOMAIN NAME>']]</Select></Query>
</QueryList>
| Event ID | Log | Level | LogonType | Authentication Pkg Name |
|---|---|---|---|---|
| 4624 | Security | Information | 3 | NTLM |
| 4625 | Security | Information | 3 | NTLM |
PowerShell活动
PowerShell事件可能很有趣,因为在现代Windows安装中默认包含Powershell。 如果PowerShell脚本失败,则可能表示配置错误,文件丢失或恶意活动。 使用Get-MessageTrackingLog cmdlet可以枚举Exchange Server邮件元数据,返回有关通过服务器传输的每封邮件的历史记录的详细信息。
可以使用PowerShell 5.0+和PowerShell 4.0启用脚本块日志记录,并启用修补程序。 欲获得更多信息:
- https://docs.microsoft.com/en-us/powershell/wmf/5.0/audit_script
- https://blogs.msdn.microsoft.com/powershell/2015/06/09/powershell-the-blue-team/
- https://www.fireeye.com/blog/threat-research/2016/02/greater_visibilityt.html
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| Get-MessageTrackingLog cmdlet | 800 | Information | Powershell | Microsoft-Windows-Powershell |
| 远程连接 | 169 | Information | Powershell | Microsoft-Windows-Powershell |
| Exception Raised | 4103 | Information | Microsoft-Windows-Powershell/Operational | Microsoft-Windows-Powershell |
| 脚本块内容 | 4104 | Information | Microsoft-Windows-Powershell/Operational | Microsoft-Windows-Powershell |
| 脚本块启动 | 4105 | Information | Microsoft-Windows-Powershell/Operational | Microsoft-Windows-Powershell |
| 脚本块关闭 | 4106 | Information | Microsoft-Windows-Powershell/Operational | Microsoft-Windows-Powershell |
打印服务
文档打印对于许多环境中的日常操作至关重要。 大量的打印请求增加了跟踪和识别哪个文档被打印以及由谁打印的难度。 可以以多种方式记录转发到打印机进行处理的文档以用于记录目的。 每个打印作业都可以由打印服务器,打印机本身或请求机器记录。 记录这些活动可以及早检测打印某些文档。 在请求打印文档的客户端计算机上生成以下事件。 此事件应被视为历史记录或其他证据,而不是印刷工作的审计记录。
默认情况下禁用此操作日志,并且需要启用日志才能捕获此事件。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 打印文件 | 307 | Information | Microsoft-Windows-PrintService/Operational | Microsoft-Windows-PrintService |
远程登录桌面检测
使用事件查看器GUI无法轻松识别远程桌面帐户活动事件。 当帐户远程连接到客户端时,会创建一个通用的成功登录事件。 自定义查询过滤器可以帮助澄清已执行的登录类型。 下面的查询显示使用远程桌面登录。 应该监视远程桌面活动,因为只有某些管理员应该使用它,并且它们应该来自一组有限的管理工作站。 应调查任何超出预期活动的远程桌面登录。
下面的XPath查询用于事件查看器的自定义视图。 事件ID 4624和事件ID 4634分别指示用户何时登录并使用RDP注销。 值为10的LogonType表示远程交互式登录。
<QueryList><Query Id="0" Path="ForwardedEvent"><Select Path="ForwardedEvents"><!-- Collects Logon and Logoffs in RDP --><!-- Remote Desktop Protocol Connections -->*[System[(Level=4 or Level=0) and (EventID=4624 or EventID=4634)]]and*[EventData[Data[@Name='LogonType']='10')]]and(*[EventData[Data[5]='10')]]or*[EventData[Data[@Name='AuthenticationPackageName'] = 'Negotiate']])</Select></Query>
</QueryList>
| Event ID | Log | Level | LogonType | Authentication Pkg Name |
|---|---|---|---|---|
| 4624 | Security | Information | 10 | Negotiate |
| 4634 | Security | Information | 10 | N/A |
软件和服务安装
作为正常网络操作的一部分,将安装新的软件和服务,监控此活动是有价值的。 管理员可以查看这些日志以查找新安装的软件或系统服务,并验证它们不会对网络造成风险。
应当注意,在Windows 7上每天12:30生成附加的程序库存事件ID 800,以提供应用程序活动的摘要(例如,新应用程序安装的数量)。 在Windows 8上也会在不同情况下生成事件ID 800。 此事件有助于管理员查找在计算机上安装或删除的应用程序数量。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 新应用程序安装 | 903, 904 | Information | Microsoft-Windows-Application-Experience/Program-Inventory | Microsoft-Windows-Application-Experience |
| 新内核过滤器驱动程序 | 6 | Information | System | Microsoft-Windows-FilterManager |
| 安装了新的MSI文件 | 1022, 1033 | Information | Application | MsiInstaller |
| 新的Windows服务 | 7045 | Information | System | Microsoft-Windows-FilterManager |
| 删除了申请 | 907, 908 | Information | Microsoft-Windows-Application-Experience/Program-Inventory | Microsoft-Windows-Application-Experience |
| 服务启动失败 | 7000 | Error | System | Service Control Manager |
| 软件活动摘要 | 800 | Information | Microsoft-Windows-Application-Experience/Program-Inventory | Microsoft-Windows-Application-Experience |
| 更新安装包 | 2 | Information | Setup | Microsoft-Windows-Servicing |
| 更新申请 | 905, 906 | Information | Microsoft-Windows-Application-Experience/Program-Inventory | Microsoft-Windows-Application-Experience |
| Windows Update已安装 | 19 | Information | System | Microsoft-Windows-WindowsUpdateClient |
System Integrity
系统完整性可确保在存在操作的情况下主机的可信度。识别主机异常更改的能力可能会妨碍额外的完整性妥协,并可能阻止此类更改。必须启用审计注册表和审计安全状态更改组策略。除非将SACL应用于所需的注册表项或值,否则不会生成注册表修改事件(请参阅Windows 10和Windows Server 2016安全审核和监视参考)。可以在Microsoft的威胁防护文章使用Windows事件转发帮助入侵检测附录B,Microsoft关于[要监控的注册表值]的保护PKI TechNet文章(https://technet.microsoft.com/en-us/library/dn786423.aspx),SwiftOnSecurity的GitHub项目名为sysmon-config,Spectre Ops的Subverting Trust Windows白皮书和CylanceWindows注册表持久性,第1部分:介绍,攻击,阶段和Windows服务
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 注册表修改 | 4657 | Information | Security | Microsoft-Windows-Security-Auditing |
| 系统时间已更改 | 1 | Information | System | Microsoft-Windows-Kernel-General |
| 系统时间已更改 | 4616 | Information | Security | Microsoft-Windows-Security-Auditing |
可能会监视的详尽的注册表项和值列表(值得注意的是,这里只列举了我认为是重要的项)
| Registry key / value |
|---|
| HKLM\SYSTEM\CurrentControlSet\Services\Ntmssvc\ |
| HKLM\SYSTEM\CurrentControlSet\Services\NWCWorkstation\ |
| HKLM\SYSTEM\CurrentControlSet\Services\Nwsapagent\ |
| HKLM\SYSTEM\CurrentControlSet\Services\SRService\ |
| HKLM\SYSTEM\CurrentControlSet\Services\WmdmPmSp\ |
| HKLM\SYSTEM\CurrentControlSet\Services\LogonHours\ |
| HKLM\SYSTEM\CurrentControlSet\Services\PCAudit\ |
| HKLM\SYSTEM\CurrentControlSet\Services\helpsvc\ |
| HKLM\SYSTEM\CurrentControlSet\Services\uploadmgr\ |
| HKLM\SYSTEM\CurrentControlSet\Services\FastUserSwitchingCompatibility\ |
| HKLM\SYSTEM\CurrentControlSet\Services\Ias\ |
| HKLM\SYSTEM\CurrentControlSet\Services\Nla\ |
| HKLM\SYSTEM\CurrentControlSet\Services\Wmi\ |
| HKLM\SYSTEM\CurrentControlSet\Services\Irmon\ |
| HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\ |
| HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ |
| HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders |
| HKLM\SOFTWARE\Microsoft\Cryptography\OID\ |
| HKLM\SOFTWARE\Microsoft\Cryptography\Providers\Trust\ |
| HKLM\SOFTWARE\Microsoft\WOW6432Node\Microsoft\Cryptography\OID\ |
| HKLM\SOFTWARE\Microsoft\WOW6432Node\Microsoft\Cryptography\Providers\Trust |
| HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\ |
| HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers\ |
系统或服务失败
系统和服务故障是可能需要调查的有趣事件。 服务操作通常不会失败。 如果服务失败,则可能会引起关注,应由管理员进行审核。 如果Windows服务在同一台计算机上反复出现故障,则可能表示攻击者正在以服务为目标。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| Windows服务失败或崩溃 | 7022, 7023, 7024, 7026, 7031, 7032, 7034 | Error | System | Service Control Manager |
计划任务程序相关活动
可以恶意创建或删除计划任务。 例如,可以使用任务计划程序创建在下载恶意文件或将恶意软件加载到内存之前等待某些先决条件的任务。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 新任务已注册 | 106 | Information | Microsoft-Windows-TaskScheduler/Operational | Microsoft-Windows-TaskScheduler |
| 任务已删除 | 141 | Information | Microsoft-Windows-TaskScheduler/Operational | Microsoft-Windows-TaskScheduler |
| 任务已禁用 | 142 | Information | Microsoft-Windows-TaskScheduler/Operational | Microsoft-Windows-TaskScheduler |
| 任务启动 | 200 | Information | Microsoft-Windows-TaskScheduler/Operational | Microsoft-Windows-TaskScheduler |
Windows Defender防病毒活动
间谍软件和恶意软件仍然是一个严重的问题,微软开发了反间谍软件和防病毒软件Windows Defender来对抗这种威胁。 应调查任何检测,删除或阻止这些恶意程序的通知。 如果Windows Defender无法正常运行,管理员应立即纠正问题,以防止感染或进一步感染。 如果当前正在使用第三方防病毒和反间谍软件产品,则无需收集这些事件。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 对恶意软件的操作失败 | 1008 | Error | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 检测到的恶意软件 | 1006, 1116 | Warning | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 无法从隔离区中删除项目 | 1010 | Error | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 无法更新引擎 | 2003 | Error | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 无法更新签名 | 2001 | Error | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 从隔离区恢复的文件 | 1009 | Information | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 恶意软件删除错误 | 1118 | Information | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 恶意软件删除致命错误 | 1119 | Error | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 恶意软件删除 | 1007, 1117 | Information | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 实时保护失败 | 3002 | Error | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 恢复到最后已知的良好签名集 | 2004 | Warning | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 扫描失败 | 1005 | Error | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
| 意外的错误 | 5008 | Error | Microsoft-Windows-Windows Defender/Operational | Microsoft-Windows-Windows Defender |
Windows防火墙
如果客户端工作站正在利用内置的基于主机的Windows防火墙,那么收集事件以跟踪防火墙状态是有价值的。 例如,如果防火墙状态从打开变为关闭,则应收集该日志。 普通用户不应该修改本地计算机的防火墙规则。 列出的Windows操作系统版本的以下事件仅适用于本地防火墙设置的修改。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 防火墙无法加载组策略 | 2009 | Error | Microsoft-Windows-Windows Firewall With Advanced Security/Firewall | Microsoft-Windows-Windows Firewall With Advanced Security |
| 防火墙规则添加 | 2004 | Information | Microsoft-Windows-Windows Firewall With Advanced Security/Firewall | Microsoft-Windows-Windows Firewall With Advanced Security |
| 防火墙规则更改 | 2005 | Information | Microsoft-Windows-Windows Firewall With Advanced Security/Firewall | Microsoft-Windows-Windows Firewall With Advanced Security |
| 防火墙规则删除 | 2006, 2033 | Information | Microsoft-Windows-Windows Firewall With Advanced Security/Firewall | Microsoft-Windows-Windows Firewall With Advanced Security |
Windows Update错误
操作系统必须保持最新以减轻已知漏洞。 尽管不太可能,但这些补丁有时可能无法应用。 应解决无法更新问题的问题,以避免延长应用程序问题或操作系统或应用程序中的漏洞。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 获取最新补丁失败 | 1009 | Information | Setup | Microsoft-Windows-Servicing |
| windows更新失败 | 20, 24, 25, 31, 34, 35 | Error | Microsoft-Windows-WindowsUpdateClient/Operational | Microsoft-Windows-WindowsUpdateClient |
声明:该文章来自github,本人仅做机器翻译,加了一点点(微不足道)的个人理解。通过一下午的学习,深感自己与他人之间的差距犹如鸿沟。如果还在满足于过去的那点知识,很快,你会被整个社会淘汰。
——致自己
最后,你可以看到受限于译者的技术水平本文没有完全翻译,部分内容译者也在理解学习中。
windows终端事件日志监控指南相关推荐
- Windows事件日志监控
大多数数据泄露属内部人员而为,但各企业在监控内部网络活动方面仍存在不足. 无论是大型还是小型企业,监控内部网络活动已成为其主要要求.要保护网络安全以防范泄露和威胁,各企业需要采取积极的措施来保证其网络 ...
- 开启系统事件监视服务器,Windows 系统事件日志监视软件和日志收集器 | SolarWinds...
什么是 Windows 事件日志? Windows 事件日志是 Microsoft 系统中事务的记录.网络中的所有设备和服务都生成日志,其中包括错误和问题报告,以及成功的事务和交互记录.Windows ...
- python读取windows日志_Python取证技术(3): Windows 事件日志分析
Windows的事件日志都存放在 C:WindowsSystem32winevtLogs 目录下.以evtx后缀结尾. 事件日志是在windows上记录重要事件发生的特殊文件,当用户登录系统或者程序报 ...
- 定期清理window事件日志
winsever上一直接受数据,导致事件日志不断写入,占满了磁盘空间,因此做了一个计划任务,定期清理winserver的事件日志. windows的事件日志位置如下,我们主要清理的是应用日志 系统日志 ...
- 前端错误日志监控:Sentry 的介绍与使用
sentry 1.背景 在我们开发完成后,会有一系列上线之前的测试,比如,先测pre,再测beta,目的就是以确保项目能在生产环境上没有事故. 但对于每一个项目,我们都没办法保证代码零 bug.零报错 ...
- Windows 终端配置(powershellcmdgit bash等等)
Windows 终端配置(powershell/cmd/git bash等等) author:onceday date:2022年6月5日 特别提示:本内容主要收集整理于:微软-windows终端文档 ...
- Snare for Windows 3.1.7 - 监控系统事件日志
Snare for Windows 3.1.7 - 监控系统事件日志 Snare可以监控Windows事件日志 ,然后记录下来,然后通过udp协议传输到远程,适合监控大量服务器的运作情况 http:/ ...
- Windows 事件日志分析管理
Windows 设备是大多数商业网络中最受欢迎的选择.为了处理这些设备生成的数 TB 的事件日志数据,安全管理员需要使用功能强大的日志管理工具(如EventLog Analyzer),该工具可以通过自 ...
- Windows事件日志监听
/// <summary>/// 监听事件日志/// </summary>public void ListenEventLog(){Task.Factory.StartNew( ...
最新文章
- Java并发编程中级篇(一):使用Semaphore信号量进行并发控制
- opcclient远程连接opc服务器_软件 | 服务器远程连接软件MobaXterm
- 科大星云诗社动态20210411
- Android 获取包名,版本信息及VersionName名称
- mybatis 逆向工程生成的 Example 类的使用
- hbuid 集成svn_HBuilder如何配置SVN的步骤详解
- 华为服务器u盘装linux_华为matebook14双系统(deepin15.11+win10)新体验!
- OpenCV-霍夫圆变换cv::HoughCircles
- android 多线程 崩溃,Android异常崩溃捕获
- Fuck SELinux :rsyslog无法生成log文件,原来是selinux机制搞的鬼!
- 易语言_酷Q机器人插件_01
- ipad和iphone横竖屏设置
- 洛谷P1067多项式输出
- www.gvlib video.php,求大佬帮忙
- 突破传统—复旦大学大数据学院张力课题组提出语义分割全新方案
- SpringCloud Alibaba实战--第八篇:Seata分布式事务处理
- GUI(Graphical User Interface)
- # 学号12 2016-2017-2 《程序设计与数据结构》第9周学习总结
- 你好,法语!A2课文汇总
- IIC通信协议详解 PCF8591应用(Verilog实现FPGA)