应急响应——Windows日志分析
Windows系统日志记录系统中硬件、软件和系统问题的信息,同时还可疑监控系统中发生的事件、用户可疑通过它来检查错误发生的原因,或者寻找收到攻击时攻击者留下的痕迹(但日志也有可能被攻击者删除或伪造)
Windows日志分类:
应用程序日志、系统日志、安全日志
系统日志
记录着操作系统组件发生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx
系统和应用程序日志储存着系统故障信息,如,蓝屏、重启等故障信息,对系统管理员和运维人员有用
安全人员主要查看的是安全日志,其中包括 事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么
设置系统日志
Windows Server 2008 R2默认未开启系统审核功能
开启方法
##WIN+R输入运行
secpol.msc
安全设置——本地策略——审核策略——设置如下配置
设置日志属性
##WIN+R运行
eventvwr.msc
安全日志大小为2M,按需要覆盖事件
安全事件说明
##用户事件管理
4720————新建用户————net user test /add
4722————启用新账户
4724————更改账户密码
4725————禁用用户账户————net user test /active:no
4726————删除用户————net user test /delete
4731————创建一个新组
4732————将用户添加到本地组————net localgroup 组名 test /add
4733————从组中删除用户
4734————删除启用的组————net localgroup 组名 /delete
4735————安全组更改
4738————更改用户账户
4798————枚举本地用户组
4727————启用安全性的组
4728————向安全的全局组中添加新成员
4729————从组中删除用户
4737————任何更改安全组的操作
4741————创建一个新的计算机账户
4742————任何更改计算机账户
4754————删除计算机账户
4755————在安全组中做任何修改时
4756————将用户添加到安全性的通用组
4799————枚举组中成员时##用户登录事件
4624————登录成功
4625————登录失败
4634——从系统注销用户
4647——用户启动的注销,当用户远程登陆,并注销时,会发生此事件
4648——使用其他用户凭证登录或绕过登录凭证打开管理员权限进程时发生
4672——使用被分配管理员权限的账户进行登录
登录成功时(4624),登录类型说明
5表示 每种服务都被配置在某个特定的用户账号下运行。
安全日志分析举例
通过筛选某一具体事件ID来分辨,服务器收到了什么样的攻击
如,筛选4625事件,发现事件数共有一万多条,且这些登录失败事件相对集中在某一段时间内,说明服务器账号可能收到了暴力破解
又如,我们筛选4647,发现了一条4647事件,说明服务器可能已经被远程登录提权,且攻击者临走时注销了提权账号
再如,我们再日志中发现了一条4724事件,表示某个账户的密码被修改了,我们询问管理员得知没有人修改账户密码,那此事件发生的原因可能是攻击者修改了某一不常用账号企图获得权限维持
日志分析工具
Log Parser
https://www.microsoft.com/en-us/download/details.aspx?id=24659
Log Parser的图形化界面工具:
LogParser Lizard
http://www.lizard-labs.com/log_parser_lizard.aspx
安装依赖
Microsoft .NET Framework 4 .5,下载地址:
https://www.microsoft.com/en-us/download/details.aspx?id=42642
Event Log Explorer
Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系统,应用程序和其他微软Windows 的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息
https://event-log-explorer.en.softonic.com/
应急响应——Windows日志分析相关推荐
- Windows应急响应 -Windows日志排查,系统日志,Web应用日志,
「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows日志分析 ...
- 应急响应基础(三)——Windows日志分析
Windows日志分析 一.Windows事件日志简介 1.Windows事件日志 Windows系统日志是记录系统中硬件.软件和系统问题的信息,同时还可以监视系统中发生的事件.用户可以通过它来检查错 ...
- 应急响应之日志排查方法,Windows篇
应急响应之日志排查方法,Windows篇 1.Windows系统的日志文件位置 2.Windows日志分类 3.日志常用事件 ID 4.日志分析手段 通过内置的日志筛选器进行分析 通过 PowerSh ...
- 应急响应 Windows和Linux操作系统(查杀 后门木马,处理 勒索病毒.)
网络安全--应急响应 应急响应"对应的英文是"Incident Response"或"Emergency Response"等,通常是指一个组织为了应 ...
- Windows日志分析(中)
Windows日志分析宝典|事件响应指南(中) 前排提示: 使用手机预览的时候, 横屏预览更佳~ 在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供 ...
- windows日志分析-Log Parser等工具使用
Windows 主要有以下三类日志记录系统事件:应用程序日志.系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件 ...
- 应急响应典型案例分析
声明 本文是学习奇安信 2022年上半年网络安全应急响应分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 应急响应典型案例分析 2022年上半年奇安信安全服务团队共接到 ...
- Windows日志分析(上)
Windows日志分析(上) 在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源.用户名.计算机.事件类型和级别等详细信息,并显示应用程序和系统 ...
- 【每天学习一点新知识】Windows日志分析
一.日志分析概述 日志:日志文件为服务器.工作站.防火墙和应用软件等IT资源相关活动记录必要的.有价值的信息.日志文件中的记录可以提供以下用途:监控系统资源:审计用户行为:对可疑行为进行告警:确定入侵 ...
最新文章
- python 报错 xxx is not callable 原因及解决办法
- 扬州大学广陵学院计算机网络试卷,扬州大学广陵学院控制工程考试样卷B.doc
- BZOJ4012 [HNOI2015]开店
- github操作笔记191021
- php fs 上传文件,PHP操作GridFS存储文件到MongoDB的三种方式
- IOS 创建简单表视图
- 95-30-025-java.util-AbstractMap
- 在vmware中创建共享磁盘
- Conflux获上海市政府超过500万美元的研究资助
- leetcode949. Largest Time for Given Digits
- 一步一步手绘Spring IOC运行时序图三(基于Annotation的IOC容器初始化)
- Frequently Asked Questions — Scrapy 0.15.1 documentation
- FZU Problem 2168 防守阵地 I
- sqlmap 使用教程
- iOS开源弹幕库BarrageRenderer
- 如何解决pip下载慢的问题
- JavaScript运算符运算优先级
- win7/win10 密码忘了?没关系,利用5次shift,9步轻松破解密码
- 用计算机制作课程表,怎么用word做表格-Word制作课程表的方法,学习必备表格,简单易学...
- airflow 的使用之 Operators 介绍
热门文章
- linux中安装node.js及搭建vue详细步骤
- 03、web前端简介
- TS 36.211 V12.0.0-上行(3)-PUCCH
- 【2014-06-16】AntiSpy 2.2 (新增进程树模式,结束进程树等功能)
- 将macbook内置键盘锁住,只使用外置键盘的方法
- 几款效率神器助你走上人生巅峰之园友推荐[收藏]
- arcgis案例分析———建筑日照间距
- springboot整合mybatis,(Mybatis对缓存提供支持,是默认开启一级缓存)多次查询返回相同查询结果后修改其中一条的值导致返回结果全部修改
- location.href 与 location.search
- FPGA开发板的作用