admin管理员组文章数量:1435859
windows事件监控指南
推荐收集的活动日志
账户使用情况
收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,添加到特权组的用户以及帐户锁定。 值得注意的是,你要特别关注那些被提升为特权组的用户帐户,以确保用户被提升到特权组的行为是正常的,经过内部审核的,而不是未授权的。 未经审核授权的特权组成员是发现恶意活动的有力证明。
域帐户的锁定事件在域控制器上生成,而本地帐户的锁定事件在本地计算机上生成。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 账户锁定 | 4740 | Information | windows 安全日志 | windows 安全审核 |
| 使用显式凭据登录帐户 | 4648 | Information | windows 安全日志 | windows 安全审核 |
| 帐户名称已更改 | 4781 | Information | windows 安全日志 | windows 安全审核 |
| 将成员从启用安全的本地组中移除 | 4733 | Information | windows 安全日志 | windows 安全审核 |
| 创建档案失败 | 1518 | Error | windows 应用日志 | Windows用户配置文件服务 |
| 凭证身份验证 | 4776 | Information | windows 安全日志 | windows 安全审核 |
| 证书备份 | 5376 | Information | windows 安全日志 | windows 安全审核 |
| 证书已恢复 | 5377 | Information | windows 安全日志 | windows 安全审核 |
| 用户帐户登录失败 | 4625 | Information | windows 安全日志 | windows 安全审核 |
| 组分配给新会话 | 300 | Information | Microsoft-Windows-LSA/Operational | LsaSrv |
| 注销事件 | 4634 | Information | windows 安全日志 | windows 安全审核 |
| 给新登录分配特权 | 4672 | Information | windows 安全日志 | windows 安全审核 |
| 创建了用户帐户 | 4720 | Information | windows 安全日志 | windows 安全审核 |
| 已启用用户账户 | 4722 | Information | windows 安全日志 | windows 安全审核 |
| 密码hash帐户被访问 | 4782 | Information | windows 安全日志 | windows 安全审核 |
| 已调用密码策略检查API | 4793 | Information | Windows 安全日志 | windows 安全审核 |
| 已创建启用安全的本地组 | 4731 | Information | windows 安全日志 | windows 安全审核 |
| 安全本地组已经更改 | 4735 | Information | windows 安全日志 | windows 安全审核 |
| 尝试向一个帐户的 SID 历史记录失败 | 4766 | Information | windows 安全日志 | windows 安全审核 |
| SID历史记录被添加到一个帐户 | 4765 | Information | windows 安全日志 | windows 安全审核 |
| 用户账户成功登陆 | 4624 | Information | windows 安全日志 | windows 安全审核 |
| 临时配置文件登录 | 1511 | Error | windows 应用日志 | Windows用户配置文件服务 |
| 用户帐户被删除 | 4726 | Information | windows 安全日志 | windows 安全审核 |
| 用户帐户已禁用 | 4725 | Information | windows 安全日志 | windows 安全审核 |
| 用户帐户已解锁 | 4767 | Information | windows 安全日志 | windows 安全审核 |
| 用户已添加到特权组 | 4728, 4732, 4756 | Information | windows 安全日志 | windows 安全审核 |
| 用户权限已分配 | 4704 | Information | windows 安全日志 | windows 安全审核 |
应用程序崩溃
应用程序崩溃可能需要调查以确定崩溃是恶意还是良性。 崩溃的类别包括蓝屏死机(BSOD),Windows错误报告(WER),应用程序崩溃和应用程序挂起事件。 如果你的组织正在积极使用Microsoft增强型缓解体验工具包(EMET),则还可以收集EMET日志。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| App Crash | 1000 | Error | 应用程序日志 | Application Error |
| App Error | 1000 | Error | 应用程序日志 | Application Error |
| App Hang | 1002 | Error | 应用程序日志 | Application Hang |
| BSOD | 1001 | Error | 系统日志 | Microsoft-Windows-WER-SystemErrorReporting |
| WER | 1001 | Information | 应用程序日志 | Windows Error Reporting |
应用程序白名单
应收集应用程序白名单事件以查找已被阻止执行的应用程序。 任何被阻止的应用程序都可能是恶意软件或试图运行未经批准的软件/用户。 Windows XP及更高版本支持软件限制策略(SRP)。 AppLocker功能仅适用于Windows 7及更高版本的Enterprise和Ultimate版本。 如果在网络上主动使用SRP或AppLocker,则可以收集应用程序白名单事件。
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 已安装应用程序 | 8023 | Information | Microsoft-Windows-AppLocker/Packaged app-Deployment | Microsoft-Windows-AppLocker |
| 应用程序运行 | 8020 | Information | Microsoft-Windows-AppLocker/Packaged app-Execution | Microsoft-Windows-AppLocker |
| AppLocker Block | 8002 | Information | Microsoft-Windows-AppLocker/EXE and DLL | Microsoft-Windows-AppLocker |
| AppLocker Block | 8003 | Error | Microsoft-Windows-AppLocker/EXE and DLL | Microsoft-Windows-AppLocker |
| AppLocker Block | 8004 | Warning | Microsoft-Windows-AppLocker/EXE and DLL | Microsoft-Windows-AppLocker |
| AppLocker Warning | 8006 | Error | Microsoft-Windows-AppLocker/MSI and Script | Microsoft-Windows-AppLocker |
| AppLocker Warning | 8007 | Warning | Microsoft-Windows-AppLocker/MSI and Script | Microsoft-Windows-AppLocker |
| 进程创建 | 4688 | Information | windows 安全日志 | Microsoft-Windows-Security-Auditing |
| 进程结束 | 4689 | Information | windows 安全日志 | Microsoft-Windows-Security-Auditing |
| 脚本或安装程序运行 | 8005 | Information | Microsoft-Windows-AppLocker/MSI and Script | Microsoft-Windows-AppLocker |
| SRP Block | 865, 866, 867, 868, 882 | Warning | windows 应用日志 | Microsoft-Windows-SoftwareRestrictionPolicies |
引导事件
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| 关机启动失败 | 1074 | Warning | User32 | User32 |
| windows 关机 | 13 | Information | System | Microsoft-Windows-Kernel-General |
| Windows 开机 | 12 | Information | System | Microsoft-Windows-Kernel-General |
证书服务
证书服务通过RPC或HTTP接收数字证书请求。 对于不依赖外部证书颁发机构的组织,可以自定义策略和设置以支持组织的要求。 可以收集以下事件以确保预期使用。 有关其他信息,请参阅TechNet文章,题为证书服务生命周期通知和Microsoft 安全博客文章标题为保护公钥基础设施的新指南
| ID | Level | Event Log | Event Source | |
|---|---|---|---|---|
| ID级别事件日志事件SourceCA权限已损坏或丢失 | 95 | Error | windows 应用日志 | windows 证书颁发机构 |
| CA服务请求 | 4886 | Information | windows 安全日志 | windows 安全审核 |
| 证书管理员设置已更改 | 4890 | Information | windows 安全日志 | windows 安全审核 |
| 证书申请属性已更改 | 4874 | Information | windows 安全日志 | windows 安全审核 |
| 证书申请延期已更改 | 4873 | Information | windows 安全日志 | windows 安全审核 |
| 证书被撤销 | 4870 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务批准的请求 | 4887 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务审核筛选器已更改 | 4885 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务配置已更改 | 4891 | Information | windows 安全日志 | windows 安全审核 |
| 证书服务拒绝请求 | 4888 | Information | windows 安全日志 | windows 安 |
版权声明:本文标题:windows终端事件日志监控指南 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.betaflare.com/biancheng/1737708276a2008722.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论