Professional Documents
Culture Documents
02. Windows Event Log Analysis Dịch
02. Windows Event Log Analysis Dịch
Phân tích
Nội dung
Giới thiệu................................................. ................................................................. ................................... 2
Truy cập vào các đối tượng được chia sẻ.................................................................. ................................................................. ...................... 11
Trang 1 trên 25
Machine Translated by Google
Giới thiệu
Microsoft đã dần dần nâng cao hiệu suất và hiệu quả của các cơ sở kiểm toán của mình trong những năm qua.
Các hệ thống Windows hiện đại có thể ghi lại lượng thông tin khổng lồ với tác động hệ thống tối thiểu. Với sự giảm giá tương
ứng của phương tiện lưu trữ, những lý do để không kích hoạt và giữ lại những bằng chứng quan trọng này đơn giản là không thể xem xét
kỹ lưỡng. Định cấu hình ghi nhật ký đầy đủ trên hệ thống Windows và lý tưởng nhất là tổng hợp các nhật ký đó vào SIEM hoặc công
cụ tổng hợp nhật ký khác, là một bước quan trọng để đảm bảo rằng môi trường của bạn có thể hỗ trợ ứng phó sự cố hiệu quả.
Tài liệu này cung cấp cái nhìn tổng quan về một số nhật ký Windows quan trọng nhất và các sự kiện được ghi lại ở đó. Giống như tất cả
các tài liệu Tham khảo dành cho nhà phân tích của chúng tôi, bản PDF này nhằm mục đích cung cấp nhiều chi tiết hơn một bảng tóm tắt trong
khi vẫn đủ ngắn để dùng làm tài liệu tham khảo nhanh. Bản PDF cũng chứa các liên kết đến các nguồn tài nguyên bên ngoài để tham khảo
thêm.
Trang 2 trên 25
Machine Translated by Google
Theo mặc định, các hệ thống Windows hiện đại lưu trữ nhật ký trong thư mục %SystemRoot%\System32\winevt\logs ở định dạng Ghi nhật
ký sự kiện Windows XML nhị phân, được chỉ định bởi phần mở rộng .evtx. Nhật ký cũng có thể được lưu trữ từ xa bằng cách đăng ký nhật
ký. Để ghi nhật ký từ xa, một hệ thống từ xa chạy dịch vụ Windows Event Collector đăng ký đăng ký nhật ký do các hệ thống
khác tạo ra. Các loại nhật ký cần thu thập có thể được chỉ định ở cấp độ chi tiết và quá trình vận chuyển diễn ra qua HTTPS trên
GPO có thể được sử dụng để cấu hình các phương tiện ghi nhật ký từ xa trên mỗi máy tính.
Các sự kiện có thể được ghi vào nhật ký sự kiện Bảo mật, Hệ thống và Ứng dụng hoặc trên các hệ thống Windows hiện đại,
chúng cũng có thể xuất hiện trong một số tệp nhật ký khác. Nhật ký sự kiện Thiết lập ghi lại các hoạt động xảy ra trong quá trình
cài đặt Windows. Nhật ký sự kiện Nhật ký được chuyển tiếp là vị trí mặc định để ghi lại các sự kiện nhận được từ các hệ thống
khác. Nhưng cũng có nhiều nhật ký bổ sung, được liệt kê trong Nhật ký ứng dụng và dịch vụ trong Trình xem sự kiện, ghi lại chi tiết
liên quan đến các loại hoạt động cụ thể. Vì các tệp nhật ký này được nhắm mục tiêu nhiều hơn nhật ký Bảo mật nên chúng thường lưu
giữ thông tin về các sự kiện đã xảy ra trước khi nhật ký Bảo mật hiện tại bị ghi đè. Luôn tìm kiếm nhiều nguồn thông tin nhật ký
và đừng quên tìm các tệp nhật ký cũ hơn có thể được hệ thống sao lưu hoặc bản sao bóng ổ đĩa ghi lại.
• Tên nhật ký: Tên của Nhật ký sự kiện nơi sự kiện được lưu trữ. Hữu ích khi xử lý nhiều
• Nguồn: Dịch vụ, thành phần hoặc ứng dụng của Microsoft đã tạo ra sự kiện.
• ID sự kiện: Mã được gán cho từng loại hoạt động được kiểm toán.
• Cấp độ: Mức độ nghiêm trọng được gán cho sự kiện đang được đề cập.
• Người dùng: Tài khoản người dùng liên quan đến việc kích hoạt hoạt động hoặc bối cảnh người dùng mà nguồn đó
chạy như khi nó ghi lại sự kiện. Lưu ý rằng trường này thường chỉ ra “Hệ thống” hoặc người dùng không phải là nguyên nhân
• Mã hoạt động: Được gán bởi nguồn tạo nhật ký. Ý nghĩa của nó được để lại ở nguồn.
• Đã ghi: Ngày và giờ hệ thống cục bộ khi sự kiện được ghi lại.
• Hạng mục nhiệm vụ: Được phân công bởi nguồn tạo ra nhật ký. Ý nghĩa của nó được để lại ở nguồn.
• Từ khóa: Được gán theo nguồn và được sử dụng để nhóm hoặc sắp xếp các sự kiện. • Máy
tính: Máy tính mà sự kiện được ghi lại. Điều này rất hữu ích khi kiểm tra nhật ký
được thu thập từ nhiều hệ thống, nhưng không được coi là thiết bị gây ra sự kiện (chẳng hạn như khi bắt đầu đăng nhập từ xa,
trường Máy tính sẽ vẫn hiển thị tên của hệ thống ghi lại sự kiện chứ không phải nguồn kết nối) .
• Mô tả: Một khối văn bản chứa thông tin bổ sung cụ thể cho sự kiện đang được ghi lại
được ghi lại. Đây thường là lĩnh vực quan trọng nhất đối với nhà phân tích.
Trang 3 trên 25
Machine Translated by Google
Các sự kiện sau sẽ được ghi lại trên hệ thống nơi tài khoản được tạo hoặc sửa đổi, đây sẽ là hệ thống cục bộ cho tài
khoản cục bộ hoặc bộ điều khiển miền cho tài khoản miền.
Mã sự kiện Sự miêu tả
4720 Một tài khoản người dùng đã được tạo.
4723 Một người dùng đã cố gắng thay đổi mật khẩu của tài khoản.
4724 Một nỗ lực đã được thực hiện để đặt lại mật khẩu của tài khoản.
4727 Một nhóm toàn cầu hỗ trợ bảo mật đã được tạo.
4728 Một thành viên đã được thêm vào nhóm toàn cầu hỗ trợ bảo mật.
4729 Một thành viên đã bị xóa khỏi nhóm toàn cầu hỗ trợ bảo mật.
4732 Một thành viên đã được thêm vào nhóm cục bộ hỗ trợ bảo mật.
4733 Một thành viên đã bị xóa khỏi nhóm cục bộ hỗ trợ bảo mật.
4735 Một nhóm cục bộ hỗ trợ bảo mật đã được thay đổi.
4737 Một nhóm toàn cầu hỗ trợ bảo mật đã được thay đổi.
4754 Một nhóm phổ quát hỗ trợ bảo mật đã được tạo.
4755 Một nhóm phổ quát hỗ trợ bảo mật đã được thay đổi.
4756 Một thành viên đã được thêm vào nhóm phổ quát hỗ trợ bảo mật.
4757 Một thành viên đã bị xóa khỏi nhóm phổ quát hỗ trợ bảo mật.
4798 Tư cách thành viên nhóm địa phương của người dùng đã được liệt kê. Số lượng lớn các
sự kiện này có thể là dấu hiệu của việc liệt kê tài khoản đối thủ.
4799 Thành viên nhóm cục bộ hỗ trợ bảo mật đã được liệt kê. Số lượng lớn các sự
kiện này có thể là dấu hiệu của việc liệt kê nhóm đối thủ.
Trang 4 trên 25
Machine Translated by Google
Đăng nhập tài khoản là thuật ngữ của Microsoft để xác thực. Đăng nhập là thuật ngữ dùng để chỉ một tài khoản có
quyền truy cập vào tài nguyên. Cả hai sự kiện Đăng nhập tài khoản và Đăng nhập sẽ được ghi lại trong nhật ký sự kiện
Bảo mật. Việc xác thực (đăng nhập tài khoản) của các tài khoản miền được thực hiện bởi bộ điều khiển miền trong
mạng Windows. Các tài khoản cục bộ (những tài khoản tồn tại trong tệp SAM cục bộ chứ không phải là một phần của
Active Directory) được xác thực bởi hệ thống cục bộ nơi chúng tồn tại. Các sự kiện đăng nhập tài khoản sẽ được hệ
thống thực hiện xác thực ghi lại. Việc kiểm tra các sự kiện Đăng nhập và Đăng nhập tài khoản có thể dễ dàng được
thiết lập bởi Chính sách nhóm. Mặc dù Microsoft tiếp tục cho phép ghi nhật ký nhiều hơn theo mặc định khi các phiên bản
Windows mới được phát hành nhưng quản trị viên nên thường xuyên xem lại chính sách kiểm tra của mình để đảm bảo rằng
tất cả các hệ thống đều tạo nhật ký đầy đủ. Khả năng lưu trữ nhật ký sự kiện trên các hệ thống từ xa (sử dụng
tính năng ghi nhật ký từ xa gốc của Microsoft hoặc SIEM của bên thứ ba hoặc các công cụ khác) giúp bảo vệ nhật ký khỏi bị thay đổi hoặc
sự phá hủy.
Do đó, bộ điều khiển miền trong mạng của bạn sẽ có thể cung cấp tính toán khá tập trung về những tài khoản được xác thực trên toàn miền.
Hãy nhớ rằng để có được bức tranh đầy đủ, bạn sẽ cần truy vấn từng DC của mình vì DC thực hiện xác thực sẽ tạo nhật ký sự kiện liên
quan. Mặt khác, nếu bạn thấy rằng các máy chủ hoặc máy trạm thành viên đang thực hiện xác thực của riêng chúng thì đó là một dấu hiệu
tốt cho thấy tài khoản người dùng cục bộ đang được sử dụng. Vì điều này thường không được thực hiện trong hầu hết các môi trường nên
các sự kiện đăng nhập tài khoản trên bộ điều khiển không thuộc miền thường có thể là dấu hiệu của sự xâm phạm. Ngược lại, nhật ký sự kiện
đăng nhập được tạo bởi hệ thống đang được truy cập, do đó, các sự kiện đăng nhập sẽ được tạo bởi các hệ thống trên toàn mạng,
cung cấp một lý do khác để tổng hợp nhật ký vào một vị trí trung tâm.
ID sự kiện được quan tâm đặc biệt trên bộ điều khiển miền, giúp xác thực người dùng miền, bao gồm:
Mô tả ID sự kiện
4768 Việc phát hành TGT thành công cho thấy tài khoản người dùng đã được bộ điều khiển miền xác thực. Phần Thông tin Mạng của mô tả
sự kiện chứa thông tin bổ sung về máy chủ từ xa trong trường hợp có nỗ lực đăng nhập từ xa.
Trường Từ khóa cho biết nỗ lực xác thực thành công hay thất bại.
Trong trường hợp nỗ lực xác thực không thành công, mã kết quả trong mô tả sự kiện sẽ cung
cấp thông tin bổ sung về lý do thất bại, như được chỉ định trong RFC 4120.
Một số mã thường gặp hơn là:
Trang 5 trên 25
Machine Translated by Google
12 0xC Hạn chế chính sách cấm đăng nhập này (chẳng hạn như
hạn chế máy trạm hoặc hạn chế thời gian trong ngày).
32 0x20 Vé đã hết hạn sử dụng (thường gặp trên tài khoản máy tính).
Mã sự kiện Sự miêu tả
4769 Một tài khoản người dùng đã yêu cầu một phiếu dịch vụ cho một tài nguyên được chỉ định.
Mô tả sự kiện này hiển thị IP nguồn của hệ thống đã đưa ra yêu cầu, tài khoản người dùng
được sử dụng và dịch vụ sẽ được truy cập. Những sự kiện này cung cấp nguồn bằng chứng hữu
ích khi chúng theo dõi quyền truy cập của người dùng đã được xác thực trên mạng.
Trường Từ khóa cho biết yêu cầu phiếu dịch vụ thành công hay thất bại. Trong trường hợp
thất bại, mã kết quả cho biết lý do thất bại. Loại mã hóa vé cũng được ghi lại, điều này
có thể hữu ích trong việc phát hiện các cuộc tấn công chống lại Kerberos.
4770 Một vé dịch vụ đã được gia hạn. Tên tài khoản, tên dịch vụ, địa chỉ IP của khách hàng và
loại mã hóa được ghi lại.
4771 Tùy thuộc vào lý do đăng nhập Kerberos không thành công, ID sự kiện 4768 hoặc ID sự kiện 4771 sẽ được tạo.
Trong cả hai trường hợp, mã kết quả trong mô tả sự kiện đều cung cấp thông tin bổ sung về lý do lỗi.
4776 ID sự kiện này được ghi lại cho các lần thử xác thực NTLM. Phần Thông tin Mạng của mô tả sự kiện chứa thông tin
bổ sung về máy chủ từ xa trong trường hợp có nỗ lực đăng nhập từ xa. Trường Từ khóa cho biết nỗ lực xác thực
thành công hay thất bại. Trong trường hợp xác thực không thành công, mã lỗi trong mô tả sự kiện sẽ cung
cấp thêm chi tiết về lỗi, như được mô tả trong Bảng 8.3.
Một loạt sự kiện 4776 không thành công với Mã lỗi C000006A (mật khẩu không hợp lệ)
theo sau là Mã lỗi C0000234 (tài khoản bị khóa) có thể là dấu hiệu của một cuộc tấn công
đoán mật khẩu không thành công (hoặc người dùng đơn giản là quên mật khẩu tài
khoản) . Tương tự, một loạt sự kiện 4776 thất bại theo sau là sự kiện 4776 thành công có
thể cho thấy một cuộc tấn công đoán mật khẩu thành công. Sự hiện diện của ID sự kiện 4776
trên máy chủ hoặc máy khách thành viên là dấu hiệu cho thấy người dùng đang cố gắng xác
thực với tài khoản cục bộ trên hệ thống đó và bản thân nó có thể là nguyên nhân cần điều tra thêm.
Trang 6 trên 25
Machine Translated by Google
Mã lỗi Nghĩa
0xC0000064 Tên người dùng không chính xác.
thực của Trình quản lý mạng LAN không khớp giữa máy tính nguồn và máy tính đích.
Nguồn: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4776
Trên các hệ thống đang được truy cập, ID sự kiện cần lưu ý bao gồm:
Mã sự kiện Sự miêu tả
4624 Đăng nhập vào hệ thống đã xảy ra. Loại 2 biểu thị đăng nhập tương tác (thường là cục
bộ), trong khi Loại 3 biểu thị đăng nhập từ xa hoặc mạng. Mô tả sự kiện sẽ
chứa thông tin về máy chủ và tên tài khoản liên quan. Để đăng nhập từ xa, hãy tập trung
vào phần Thông tin mạng của mô tả sự kiện để biết thông tin máy chủ từ xa. Mối tương
quan với các sự kiện 4768, 4769 hoặc 4776 liên quan có thể mang lại thông tin chi tiết
bổ sung về máy chủ từ xa. Sự khác biệt trong mục nhập bản ghi giữa tên máy chủ được ghi
và địa chỉ IP được chỉ định của nó có thể là dấu hiệu của các cuộc tấn công
chuyển tiếp Khối tin nhắn máy chủ (SMB), trong đó kẻ tấn công chuyển tiếp yêu cầu từ
một hệ thống bằng địa chỉ IP không được liên kết với hệ thống đó.
Các trường Tên quy trình người gọi và ID quy trình người gọi trong phần Thông tin quy trình của mô
tả sự kiện có thể cung cấp thêm chi tiết về quy trình bắt đầu đăng nhập.
Các kết nối Giao thức máy tính từ xa (RDP) thành công thường đăng nhập dưới dạng Loại đăng nhập 10 trong
ID sự kiện 4624. Điều này ghi lại đăng nhập tương tác từ xa thành công và có thể dẫn đến thông tin
đăng nhập của người dùng được lưu vào bộ nhớ đệm trong RAM và có thể trên đĩa. Việc sử dụng chế độ
Quản trị viên bị hạn chế có thể ảnh hưởng đến điều này. Đăng nhập RDP không thành công thường dẫn đến
Trang 7 trên 25
Machine Translated by Google
Tương tác, chẳng hạn như đăng nhập bằng bàn phím và màn hình của hệ thống hoặc từ xa bằng cách sử dụng các
công cụ truy cập từ xa của bên thứ ba như VNC hoặc psexec bằng khóa chuyển -u. Đăng nhập kiểu này sẽ lưu
thông tin xác thực của người dùng vào bộ nhớ đệm trong RAM trong suốt thời gian của phiên và có thể lưu thông
tin xác thực của người dùng vào bộ nhớ đệm trên đĩa.
3 Mạng, chẳng hạn như quyền truy cập vào thư mục dùng chung trên máy tính này từ nơi khác trên mạng. Điều này
thể hiện đăng nhập không tương tác, không lưu trữ thông tin xác thực của người dùng trong RAM hoặc trên
đĩa.
4 Batch (cho biết một nhiệm vụ theo lịch trình). Kiểu đăng nhập hàng loạt được sử dụng bởi các máy chủ
hàng loạt, trong đó các quy trình có thể được thực thi thay mặt người dùng mà không cần sự can thiệp
5 Dịch vụ cho biết rằng một dịch vụ đã được khởi động bởi Trình quản lý kiểm soát dịch vụ.
7 Mở khóa cho biết rằng máy trạm không được giám sát có màn hình được bảo vệ bằng mật khẩu đã được mở khóa
số 8
NetworkCleartext chỉ ra rằng người dùng đã đăng nhập vào máy tính này từ mạng và mật
khẩu của người dùng đã được chuyển đến gói xác thực ở dạng chưa băm. Xác thực tích hợp đóng
gói tất cả thông tin xác thực băm trước khi gửi chúng qua mạng. Thông tin xác thực không
truyền qua mạng ở dạng văn bản gốc (còn gọi là văn bản rõ ràng). Thông thường, biểu thị đăng
nhập vào Dịch vụ thông tin Internet (IIS) với xác thực cơ bản.
9 NewCredentials cho biết rằng người dùng đã đăng nhập bằng thông tin xác thực thay thế để thực hiện các
hành động như với RunAs hoặc ánh xạ ổ đĩa mạng. Nếu bạn muốn theo dõi người dùng đang cố gắng đăng nhập
bằng thông tin xác thực thay thế, hãy tìm ID sự kiện 4648.
10 RemoteInteractive chỉ ra rằng Dịch vụ đầu cuối, Máy tính từ xa hoặc Hỗ trợ từ xa dành cho đăng nhập
tương tác. Xem ghi chú về RDP ở cuối phần này để biết thêm chi tiết.
11 CachedInteractive (đăng nhập bằng thông tin đăng nhập tên miền được lưu trong bộ nhớ cache, chẳng hạn
như khi đăng nhập vào máy tính xách tay khi không có mạng). Bộ điều khiển miền không được
liên hệ để xác minh thông tin xác thực, do đó không có mục đăng nhập tài khoản nào được tạo.
www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624 và https://docs.microsoft.com/
en-us/previous-versions/windows/it-pro/windows-server-2003/cc787567(v=ws.10 ).
Trang 8 trên 25
Machine Translated by Google
Mã sự kiện Sự miêu tả
4625 Một nỗ lực đăng nhập không thành công. Số lượng lớn những thứ này trên toàn mạng có thể là dấu
hiệu của các cuộc tấn công đoán mật khẩu hoặc dò mật khẩu. Một lần nữa, phần Thông tin mạng
của mô tả sự kiện có thể cung cấp thông tin có giá trị về máy chủ từ xa đang cố gắng đăng nhập
vào hệ thống. Lưu ý rằng đăng nhập không thành công qua RDP có thể đăng nhập dưới dạng Loại 3
thay vì Loại 10, tùy thuộc vào hệ thống liên quan.
Bạn có thể xác định thêm về lý do thất bại bằng cách tham khảo phần Thông tin lỗi trong
mô tả sự kiện.
Mã trạng thái được tìm thấy trong ID sự kiện 4625 cung cấp thêm chi tiết về sự kiện:
0xC0000064 Người dùng đăng nhập bằng tài khoản người dùng sai chính tả hoặc sai.
0xC000006A Người dùng đăng nhập bằng mật khẩu sai chính tả hoặc sai.
0XC000006D Điều này có thể là do tên người dùng không hợp lệ hoặc thông tin xác thực không chính xác.
0XC000006E Tên người dùng không xác định hoặc mật khẩu sai.
0xC0000071 Người dùng đăng nhập bằng mật khẩu đã hết hạn.
0xC0000072 Người dùng đăng nhập vào tài khoản bị quản trị viên vô hiệu hóa.
0XC00000DC Cho biết Máy chủ ở trạng thái sai để thực hiện thao tác mong muốn.
0XC0000133 Đồng hồ giữa bộ điều khiển miền và máy tính khác quá không đồng bộ.
0XC000015B Người dùng chưa được cấp loại đăng nhập được yêu cầu (còn được gọi là quyền đăng nhập)
tại máy này.
0XC000018C Yêu cầu đăng nhập không thành công vì mối quan hệ tin cậy giữa miền chính và miền tin cậy
không thành công.
0XC0000192 Đã cố gắng đăng nhập nhưng dịch vụ Netlogon chưa được khởi động.
0xC0000193 Người dùng đăng nhập bằng tài khoản đã hết hạn.
0XC0000224 Người dùng được yêu cầu thay đổi mật khẩu ở lần đăng nhập tiếp theo.
0XC0000225 Rõ ràng là một lỗi trong Windows chứ không phải là một rủi ro.
0XC00002EE Lý do thất bại: Đã xảy ra lỗi trong quá trình đăng nhập.
0XC0000413 Lỗi đăng nhập: Máy bạn đang đăng nhập được bảo vệ bởi tường lửa xác thực. Tài
khoản được chỉ định không được phép xác thực với máy.
Nguồn: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625
Trang 9 trên 25
Machine Translated by Google
Mã sự kiện Sự miêu tả
4634/4647 Người dùng đăng xuất được ghi lại bằng ID sự kiện 4634 hoặc ID sự kiện 4647. Việc thiếu sự kiện hiển thị đăng
xuất không nên bị coi là quá đáng ngờ vì Windows không nhất quán trong việc ghi nhật ký ID sự
kiện 4634 trong nhiều trường hợp. Trường ID đăng nhập có thể được sử dụng để liên kết sự kiện đăng nhập
ID sự kiện 4624 với sự kiện đăng xuất liên quan (ID đăng nhập là duy nhất giữa các lần khởi động
lại trên cùng một máy tính). Đăng nhập loại 3 (Mạng) thường sẽ ngắt kết nối ngay sau khi yêu cầu
hoàn tất và không cho biết lượng thời gian thực tế mà người dùng đã tham gia vào bất kỳ hoạt động cụ thể
nào. Đăng nhập tương tác (chủ yếu là loại 2, nhưng cũng có loại 10 và 11 nếu chúng tồn tại) có thể mang
lại cảm giác tốt hơn về thời lượng phiên, nhưng Windows không quá nhất quán trong việc ghi nhật ký ID
sự kiện 4634 và có thể ngắt kết nối các phiên do không hoạt động sau khi người dùng chủ động dừng tương
tin đăng nhập khác với thông tin được sử dụng cho phiên đăng nhập hiện tại (bao gồm cả việc bỏ qua Kiểm
soát tài khoản người dùng [UAC] để mở một quy trình có quyền quản trị viên), sự kiện này sẽ được
ghi lại.
4672 ID sự kiện này được ghi lại khi một số đặc quyền nhất định liên quan đến quyền truy cập nâng cao
hoặc quyền truy cập của quản trị viên được cấp cho lần đăng nhập. Giống như tất cả các sự kiện đăng nhập,
nhật ký sự kiện sẽ được tạo bởi hệ thống đang được truy cập.
4778 Sự kiện này được ghi lại khi một phiên được kết nối lại với trạm Windows. Điều này có thể xảy ra cục bộ khi bối
cảnh người dùng được chuyển đổi thông qua chuyển đổi người dùng nhanh. Nó cũng có thể xảy ra khi một phiên được
kết nối lại qua RDP. Kết nối ban đầu qua RDP được ghi lại bằng ID sự kiện 4624 như đã đề cập trước đó. Để phân
biệt giữa RDP và chuyển đổi phiên cục bộ, hãy xem trường Tên phiên trong mô tả sự kiện. Nếu là cục
bộ, trường sẽ chứa Bảng điều khiển và nếu ở xa, trường sẽ bắt đầu bằng RDP. Đối với các phiên RDP, thông tin
máy chủ từ xa sẽ nằm trong phần Thông tin mạng của mô tả sự kiện.
4779 Sự kiện này được ghi lại khi phiên bị ngắt kết nối. Điều này có thể xảy ra cục bộ khi bối cảnh người
dùng được chuyển đổi thông qua chuyển đổi người dùng nhanh. Nó cũng có thể xảy ra khi một phiên
được kết nối lại qua RDP. Đăng xuất hoàn toàn khỏi phiên RDP được ghi lại bằng ID sự kiện 4637 hoặc 4647
như đã đề cập trước đó. Để phân biệt giữa RDP và chuyển đổi phiên cục bộ, hãy xem trường Tên phiên trong
mô tả sự kiện. Nếu là cục bộ, trường sẽ chứa Bảng điều khiển và nếu ở xa, trường sẽ bắt đầu bằng
RDP. Đối với các phiên RDP, thông tin máy chủ từ xa sẽ nằm trong phần Thông tin mạng của mô tả sự
kiện.
Thông tin bổ sung về Phiên RDP có thể được tìm thấy trong
%SystemRoot%\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Tệp
nhật ký hoạt động. ID sự kiện 21 trong nhật ký này hiển thị các sự kiện đăng nhập phiên, cả cục bộ và từ xa, bao gồm cả IP mà
kết nối được thực hiện nếu ở xa. ID sự kiện 24 trong nhật ký này hiển thị việc ngắt kết nối phiên, bao gồm cả IP mà kết nối
được thực hiện nếu điều khiển từ xa. Đối với đăng nhập cục bộ, trường Địa chỉ mạng nguồn của mô tả sự kiện sẽ đọc ĐỊA PHƯƠNG thay
Thông tin về Phiên RDP cũng có thể được tìm thấy trong tệp nhật ký %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-TerminalServices-
RemoteConnectionManager%4Operational. ID sự kiện 1149 trong nhật ký này sẽ hiển thị tài khoản người dùng và IP nguồn được sử dụng để bắt
Trang 10 trên 25
Machine Translated by Google
Những kẻ tấn công thường xuyên tận dụng thông tin xác thực hợp lệ để truy cập dữ liệu từ xa thông qua chia sẻ
quản trị hoặc do người dùng tạo. Làm như vậy sẽ tạo ra các sự kiện Đăng nhập và Đăng nhập tài khoản như đã đề cập ở trên,
nhưng cũng có thể bật tính năng ghi nhật ký bổ sung trong Bảng điều khiển quản lý chính sách nhóm bằng cách điều hướng đến Cấu
hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Cấu hình chính sách kiểm tra nâng cao -> Chính sách kiểm
tra -> Truy cập đối tượng -> Chia sẻ tệp kiểm tra. Sau khi được bật, các ID sự kiện sau sẽ được ghi vào Nhật ký bảo mật:
Mã sự kiện Sự miêu tả
5140 Một đối tượng chia sẻ mạng đã được truy cập. Mục sự kiện cung cấp tên tài khoản và địa chỉ nguồn của tài
khoản đã truy cập đối tượng. Lưu ý rằng mục này sẽ hiển thị rằng chia sẻ đã được truy cập nhưng không
hiển thị những tệp trong chia sẻ đã được truy cập. Một số lượng lớn các sự kiện này từ một tài
khoản có thể là dấu hiệu cho thấy một tài khoản đang được sử dụng để thu thập hoặc ánh xạ dữ
5145 Một đối tượng chia sẻ mạng đã được kiểm tra để xem liệu máy khách có thể được cấp quyền truy cập
mong muốn hay không. Lỗi chỉ được ghi lại nếu quyền bị từ chối ở cấp độ chia sẻ tệp. Nếu quyền
bị từ chối ở cấp độ NTFS thì không có mục nào được ghi lại.
Nếu kiểm tra chia sẻ tệp chi tiết được bật trong Bảng điều khiển quản lý chính sách nhóm bằng cách điều hướng đến
Cấu hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Cấu hình chính sách kiểm tra nâng cao -> Chính
sách kiểm tra -> Truy cập đối tượng -> Kiểm tra chia sẻ tệp chi tiết, thì mỗi tệp trong mỗi chia sẻ được truy cập sẽ tạo
ra một mục nhật ký ID sự kiện 5145. Như bạn có thể tưởng tượng, mức độ ghi nhật ký này có thể tạo ra một lượng lớn kết quả.
Hệ thống bắt đầu truy cập cũng có thể hiển thị bằng chứng về các kết nối trong khóa đăng ký
NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2.
Trang 11 trên 25
Machine Translated by Google
Nếu lịch sử được bật trong ứng dụng Trình lập lịch tác vụ, thông qua Trình xem sự kiện hoặc bằng lệnh wevtutil (xem tại đây để
TaskScheduler%4Nhật ký hoạt động sẽ ghi lại hoạt động liên quan đến các tác vụ đã lên lịch trên hệ thống cục bộ như sau:
Mã sự kiện Sự miêu tả
106 Đã tạo nhiệm vụ theo lịch trình. Mục nhập hiển thị tài khoản người dùng đã lên lịch tác vụ và tên
người dùng được gán cho tác vụ. Ngày và giờ đã ghi hiển thị thời điểm tác vụ được lên lịch. Tìm ID sự
kiện liên quan 200 và 201 để biết thêm thông tin.
140 Đã cập nhật nhiệm vụ theo lịch trình. Mục nhập hiển thị tài khoản người dùng đã cập nhật tác vụ
và tên của tác vụ. Ngày và giờ đã ghi hiển thị thời điểm tác vụ được cập nhật. Tìm ID sự
141 Đã xóa nhiệm vụ theo lịch trình. Mục nhập hiển thị tài khoản người dùng đã xóa tác vụ và tên của tác
vụ.
200 Nhiệm vụ theo lịch trình được thực hiện. Hiển thị tên tác vụ và đường dẫn đầy đủ đến tệp
thực thi trên đĩa đã chạy (được liệt kê dưới dạng Hành động). Tương quan điều này với ID sự kiện
106 được liên kết để xác định tài khoản người dùng đã lên lịch tác vụ.
201 Nhiệm vụ theo lịch trình đã hoàn thành. Hiển thị tên tác vụ và đường dẫn đầy đủ đến tệp thực
thi trên đĩa đã chạy (được liệt kê dưới dạng Hành động). Tương quan điều này với ID sự kiện 106
được liên kết để xác định tài khoản người dùng đã lên lịch tác vụ.
Ngoài ra, hãy xem phần Kiểm tra quyền truy cập đối tượng để biết thêm ID sự kiện có thể được ghi lại liên quan đến các tác vụ đã lên
lịch.
Trang 12 trên 25
Machine Translated by Google
Kiểm tra quyền truy cập đối tượng không được bật theo mặc định nhưng phải được bật trên các hệ thống nhạy cảm. Để làm như
vậy, chỉ cần đặt sử dụng Chính sách bảo mật cục bộ để đặt Cài đặt bảo mật -> Chính sách cục bộ -> Chính sách kiểm tra -> Quyền truy
cập đối tượng kiểm tra vào Đã bật để thành công và thất bại. Khi bật kiểm tra truy cập đối tượng, một số hoạt động được ghi
lại theo mặc định và những hoạt động khác cần được cấu hình rõ ràng. Lý do cho điều này là quyền truy cập đối tượng diễn ra
liên tục trên hệ thống, do đó nhật ký này được thiết kế chi tiết hơn để cho phép các đối tượng quan trọng nhận được kiểm tra bổ
sung mà không làm quá tải các nhật ký đang cố ghi lại tất cả quyền truy cập đối tượng trên hệ thống.
Các sự kiện kiểm tra quyền truy cập đối tượng được lưu trữ trong Nhật ký bảo mật. Nếu bật tính năng kiểm tra quyền truy cập đối tượng,
các tác vụ đã lên lịch sẽ được ghi nhật ký bổ sung. ID sự kiện liên quan đến tác vụ đã lên lịch là:
ID sự kiện Sự miêu tả
4698 Một tác vụ theo lịch trình đã được tạo. Mô tả sự kiện chứa tài khoản người dùng đã tạo tác vụ trong
phần Chủ đề. Chi tiết XML của tác vụ đã lên lịch cũng được ghi lại trong mô tả sự kiện trong phần
Mô tả tác vụ và bao gồm Tên tác vụ. Các thẻ quan tâm bổ sung bao gồm:
• <Ngày> hiển thị thời gian của sự kiện được ghi lại và khớp với trường Đã ghi của chính sự kiện đó.
• <Tác giả> hiển thị cho người dùng ban đầu đã tạo tác vụ, điều này không thay đổi nếu người dùng
khác cập nhật tác vụ sau đó (xem ID sự kiện 4702 để biết thêm thông tin về cách xác
định xem tác vụ theo lịch trình có được cập nhật hay không).
• <Triggers> cung cấp thông tin về thời điểm tác vụ được lên lịch chạy.
• <ID người dùng> hiển thị bối cảnh người dùng mà tác vụ sẽ chạy trong đó, có thể khác với tài
khoản được sử dụng để lên lịch tác vụ. Nếu <Loại đăng nhập> hiển thị Mật khẩu thì mật
khẩu cho tài khoản được liệt kê trong <ID người dùng> đã được nhập vào thời điểm tác vụ được
lên lịch, điều này có thể cho thấy tài khoản đã bị xâm phạm thêm.
• <Command> hiển thị đường dẫn đến tệp thực thi sẽ chạy. Mọi đối số được chỉ định sẽ được liệt kê
4699 Một nhiệm vụ theo lịch trình đã bị xóa. Phần Chủ đề của mô tả sự kiện chứa Tên tài khoản đã xóa nhiệm
vụ cũng như Tên nhiệm vụ.
4700 Một tác vụ theo lịch trình đã được kích hoạt. Xem ID sự kiện 4698 để biết thêm chi tiết.
4701 Tác vụ đã lên lịch đã bị vô hiệu hóa. Xem ID sự kiện 4698 để biết thêm chi tiết.
4702 Một nhiệm vụ theo lịch trình đã được cập nhật. Người dùng bắt đầu cập nhật sẽ xuất hiện trong phần Chủ
đề của mô tả sự kiện. Chi tiết về nhiệm vụ sau khi sửa đổi được liệt kê trong XML trong phần mô tả sự kiện.
So sánh với các mục nhập ID sự kiện 4702 hoặc 4698 trước đó cho tác vụ này để xác định những thay đổi nào
đã được thực hiện. Xem ID sự kiện 4698 để biết thêm chi tiết.
Trang 13 trên 25
Machine Translated by Google
Ngoài các tác vụ đã lên lịch, các đối tượng tệp riêng lẻ thường xuyên được kiểm tra để truy cập đối tượng. Ngoài việc bật
tùy chọn Thành công và/hoặc Thất bại đối với Quyền truy cập đối tượng kiểm toán như đã đề cập trước đó, để kiểm tra quyền truy
cập vào từng tệp hoặc thư mục riêng lẻ, bạn cũng cần đặt rõ ràng các quy tắc kiểm tra trong hộp thoại Thuộc tính của tệp hoặc
thư mục bằng cách chọn tab Bảo mật , nhấp vào Nâng cao, chọn tab Kiểm tra và đặt loại kiểm tra cũng như (các) tài khoản người
dùng cần đặt kiểm tra. Hướng dẫn chi tiết có thể được tìm thấy ở đây:
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-
file-or-folder
Để một tiến trình sử dụng một đối tượng hệ thống, chẳng hạn như một tập tin, nó phải có được một điều khiển đối tượng đó. Sau khi
bật kiểm tra, bạn có thể sử dụng ID sự kiện được mô tả bên dưới để xem quyền truy cập vào các tệp và thư mục quan trọng bằng cách theo
dõi việc cấp và sử dụng các thẻ điều khiển cho các đối tượng đó.
Mã sự kiện Sự miêu tả
4656 Một tay cầm cho một đối tượng đã được yêu cầu. Khi một quá trình cố gắng giành được quyền điều khiển
đối tượng được kiểm tra, sự kiện này sẽ được tạo. Chi tiết về đối tượng mà bộ điều khiển được yêu cầu
và ID bộ điều khiển được gán cho bộ điều khiển được liệt kê trong phần Đối tượng của mô tả sự kiện. Yêu
cầu xử lý thành công hay thất bại sẽ được biểu thị trong trường Từ khóa. Tài khoản được sử dụng để yêu cầu
xử lý cũng như ID đăng nhập liên quan của tài khoản đó được ghi lại trong phần Chủ đề của mô tả sự kiện.
Chi tiết về quy trình yêu cầu xử lý được liệt kê trong phần Thông tin quy trình của mô tả sự kiện.
Thông tin yêu cầu truy cập hiển thị loại quyền truy cập được yêu cầu. Lưu ý rằng việc có được một
điều khiển cho một đối tượng không có nghĩa là tất cả các quyền được yêu cầu đã thực sự được sử dụng. Tìm
kiếm các mục nhập ID sự kiện 4663 bổ sung có cùng ID xử lý (được giữ duy nhất giữa các lần khởi động
lại) để xác định quyền nào đã được sử dụng. Bạn cũng có thể cố gắng xác định các hành động khác được thực
hiện bởi cùng một người dùng trong phiên đó bằng cách tìm kiếm các lần xuất hiện của ID đăng nhập (cũng là
4657 Giá trị đăng ký đã được sửa đổi. Tài khoản người dùng và quy trình chịu trách nhiệm mở tay cầm được liệt
kê trong mô tả sự kiện. Phần Đối tượng chứa thông tin chi tiết về sửa đổi, bao gồm trường Tên đối
tượng, cho biết đường dẫn và tên đầy đủ của khóa đăng ký nơi giá trị được sửa đổi. Trường Tên Giá trị
Đối tượng chứa tên của giá trị khóa đăng ký đã sửa đổi. Lưu ý rằng sự kiện này chỉ tạo ra khi giá trị
khóa được sửa đổi chứ không phải nếu chính khóa đó được sửa đổi.
4658 Tay cầm của một đối tượng đã được đóng lại. Tài khoản người dùng và quy trình chịu trách nhiệm mở tay cầm
được liệt kê trong mô tả sự kiện. Để xác định chính đối tượng, hãy tham khảo ID sự kiện 4656 trước đó
4660 Một đối tượng đã bị xóa. Tài khoản người dùng và quy trình chịu trách nhiệm mở tay cầm được liệt kê trong mô tả
sự kiện. Để xác định chính đối tượng, hãy tham khảo ID sự kiện 4656 trước đó với cùng ID xử lý.
4663 Một nỗ lực đã được thực hiện để truy cập một đối tượng. Sự kiện này được ghi lại khi một quá trình cố gắng
tương tác với một đối tượng, thay vì chỉ lấy một điều khiển đối tượng. Điều này có thể được sử dụng để
giúp xác định loại hành động nào có thể đã được thực hiện trên một đối tượng (ví dụ: chỉ đọc hoặc sửa đổi
Trang 14 trên 25
Machine Translated by Google
Kể từ Windows 8/Server 2012, tính năng ghi nhật ký bổ sung cũng có thể được bật trong Bảng điều khiển quản lý chính sách nhóm bằng
cách điều hướng đến Cấu hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Cấu hình chính sách kiểm tra nâng cao
-> Chính sách kiểm tra -> Truy cập đối tượng - > Kiểm tra bộ nhớ có thể tháo rời. Sau khi được bật, Windows sẽ tạo các mục nhập ID sự
kiện 4663 bổ sung (xem ở trên) bất cứ khi nào tài khoản truy cập vào đối tượng hệ thống tệp trên bộ nhớ di động. Điều này có thể giúp xác
định khi nào người dùng đang sao chép dữ liệu đến hoặc từ phương tiện bên ngoài.
Trang 15 trên 25
Machine Translated by Google
Khi chính sách kiểm tra thay đổi, nó sẽ tác động đến bằng chứng có sẵn cho các nhà điều tra và người xử lý sự cố, cho dù thay đổi
đó được thực hiện một cách cố ý bởi kẻ tấn công hay bởi quản trị viên hợp pháp. May mắn thay, các hệ thống Windows hiện đại
thực hiện rất tốt việc ghi lại những thay đổi này khi chúng xảy ra. ID sự kiện được sử dụng cho quá trình kiểm tra này là
4719:
• 4719 – Chính sách kiểm tra hệ thống đã được thay đổi. Phần Thay đổi chính sách kiểm toán sẽ liệt kê cụ thể
những thay đổi đã được thực hiện đối với chính sách kiểm toán. Phần Chủ đề của mô tả sự kiện có thể hiển thị tài khoản đã thực
hiện thay đổi, nhưng thường (chẳng hạn như khi thay đổi được thực hiện thông qua Chính sách Nhóm), phần này chỉ báo cáo
tên của hệ thống cục bộ. Thật không may, việc kiểm tra quyền truy cập Dịch vụ Thư mục là một lĩnh vực mà Windows vẫn chưa rõ
thông tin ở đây và đây, và có một số công cụ của bên thứ ba cung cấp khả năng hiển thị bổ sung và trách nhiệm
giải trình trong các sửa đổi đối với Đối tượng Chính sách Nhóm.
• 1102 - Bất kể cài đặt trong chính sách kiểm tra là gì, nếu nhật ký sự kiện Bảo mật bị xóa, ID sự kiện 1102 sẽ được
ghi lại làm mục nhập đầu tiên trong nhật ký trống mới. Bạn có thể cho biết tên tài khoản người dùng đã xóa nhật
ký trong thông tin chi tiết của mục nhập. Một sự kiện tương tự, với ID 104, sẽ được tạo trong Nhật ký hệ thống nếu nó
bị xóa.
Trang 16 trên 25
Machine Translated by Google
dù hầu hết các sự kiện chúng tôi đã đề cập cho đến nay đều được tìm thấy trong Nhật ký sự kiện bảo mật, Windows ghi lại
các sự kiện liên quan đến việc bắt đầu và dừng dịch vụ trong Nhật ký sự kiện hệ thống. Các sự kiện sau đây thường đáng chú ý:
• 6005 – Dịch vụ nhật ký sự kiện đã được bắt đầu. Điều này sẽ xảy ra vào lúc khởi động hệ thống và bất cứ khi nào
hệ thống được khởi động bằng tay. Vì dịch vụ nhật ký sự kiện rất quan trọng đối với vấn đề bảo mật nên nó sẽ có ID sự kiện riêng.
• 6006 – Dịch vụ nhật ký sự kiện đã bị dừng. Mặc dù điều này rõ ràng xảy ra khi tắt hệ thống hoặc
khởi động lại, sự xuất hiện của nó vào những thời điểm khác có thể là dấu hiệu của những nỗ lực độc hại nhằm tránh ghi
• 7034 – Một dịch vụ bị chấm dứt đột ngột. Mô tả sự kiện sẽ hiển thị tên của
• 7036 – Một dịch vụ đã bị dừng hoặc bắt đầu. Mặc dù dịch vụ nhật ký sự kiện có ID sự kiện riêng nhưng các dịch vụ khác
được ghi lại dưới cùng một ID sự kiện. Mô tả sự kiện cung cấp tên của dịch vụ nhưng không cung cấp thông tin
chi tiết về tài khoản người dùng nào đã yêu cầu dịch vụ dừng. Mô tả sẽ chỉ ra rằng dịch vụ đã chuyển sang
trạng thái đang chạy khi nó được khởi động hoặc chuyển sang trạng thái dừng khi nó bị dừng.
• 7040- Kiểu bắt đầu của một dịch vụ đã bị thay đổi. Mô tả sự kiện sẽ hiển thị tên của
• 7045 – Một dịch vụ đã được hệ thống cài đặt. Tên của dịch vụ được tìm thấy trong trường Tên dịch vụ của mô tả sự kiện và
đường dẫn đầy đủ đến tệp thực thi liên quan được tìm thấy trong trường Tên tệp dịch vụ. Đây có thể là một sự kiện đặc
biệt quan trọng vì nhiều công cụ, chẳng hạn như psexec, tạo ra một dịch vụ trên hệ thống từ xa để thực thi các lệnh.
Nhiều công cụ trong số này sẽ tạo ra một dịch vụ được đặt tên ngẫu nhiên (nổi bật trong nhật ký là rất bất thường)
hoặc sẽ chạy tệp thực thi từ các vị trí như thư mục Temp. Điều đáng lưu ý là một số dịch vụ hợp pháp, như
Windows Defender, cũng có thể sử dụng các tên có phần ngẫu nhiên, do đó, cần kiểm tra cẩn thận mọi mục nhập kỳ
Nếu bạn đã bật Cấu hình chính sách kiểm tra nâng cao > Chính sách kiểm tra hệ thống > Hệ thống > Tiện ích mở rộng hệ thống bảo
mật kiểm tra trong GPO của mình thì hệ thống Windows 10 và Server 2016/2019 cũng sẽ ghi lại ID sự kiện 4697 trong nhật ký sự kiện
Bảo mật.
Trang 17 trên 25
Machine Translated by Google
cập giả mạo là vectơ tấn công phổ biến cho các cuộc tấn công trung gian và phần mềm độc hại, có thể đáng để
xem xét các kết nối bất thường trên các thiết bị có Wi-Fi. -Fi khả năng, đặc biệt là những người được phép
rời khỏi môi trường của bạn. Nhật ký được đặt tại %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-
Mã sự kiện Sự miêu tả
8001 Dịch vụ WLAN đã kết nối thành công với mạng không dây. Mô tả sự kiện cung
cấp Chế độ kết nối cho biết đây là kết nối tự động dựa trên cấu hình đã định
cấu hình (và Tên cấu hình liên quan) hay kết nối thủ công. SSID của điểm truy cập,
cơ chế xác thực và cơ chế mã hóa của nó cũng được ghi lại.
8002 Dịch vụ WLAN không kết nối được với mạng không dây. Một lần nữa, mô tả sự kiện
sẽ chứa Chế độ kết nối, Tên hồ sơ liên quan và SSID cùng với trường Lý do lỗi.
Trang 18 trên 25
Machine Translated by Google
người dùng chạy. Điều này đã tạo ra một lỗ hổng đáng chú ý về khả năng người xử lý sự cố hiểu được hành động mà kẻ tấn công thực
hiện trên máy chủ bị xâm nhập. Sự gia tăng của các cuộc tấn công “Living of the Land” không dựa vào phần mềm độc hại mà thay
vào đó sử dụng các lệnh Windows tích hợp sẵn chỉ khiến điểm mù này trở nên nguy hiểm hơn. Trong khi trong những ngày đầu
của Windows, việc tạo quy trình kiểm tra được coi là quá chuyên sâu về hệ thống, thì các hệ thống Windows hiện đại đã tăng
đáng kể hiệu quả của các cơ sở kiểm tra, cho phép sử dụng tính năng theo dõi quy trình để đạt hiệu quả cao. Việc bổ sung khả năng
ghi nhật ký dòng lệnh đầy đủ trong các sự kiện tạo quy trình đã đi một chặng đường dài để loại bỏ các điểm mù khỏi trình
xử lý sự cố và cung cấp dấu vết mà chúng ta có thể theo dõi để phát hiện các hành động do kẻ tấn công thực hiện.
Mặc dù không phải lúc nào cũng được yêu cầu trên mọi hệ thống, nhưng việc kích hoạt tính năng này trên các hệ thống quan trọng
đang ngày càng trở thành thông lệ tiêu chuẩn trong các môi trường chú trọng đến bảo mật. Điều này yêu cầu thiết lập hai
cài đặt Chính sách nhóm riêng biệt. Tất nhiên, đầu tiên là Cấu hình máy tính -> Cài đặt Windows -> Cài đặt bảo mật -> Chính
sách cục bộ -> Chính sách kiểm tra -> Theo dõi quá trình kiểm tra. Tuy nhiên, để hưởng lợi đầy đủ từ việc theo dõi quá trình, bạn
cũng nên kích hoạt khả năng nắm bắt dòng lệnh trong các sự kiện đó. Điều này yêu cầu cài đặt thứ hai nằm ở Cấu hình máy tính ->
Mẫu quản trị -> Hệ thống -> Tạo quy trình kiểm tra -> Bao gồm dòng lệnh trong các sự kiện tạo quy trình. Hãy nhớ rằng một
số đối số dòng lệnh có thể chứa thông tin nhạy cảm như mật khẩu, vì vậy hãy đảm bảo quyền truy cập vào các nhật ký đó một cách
phù hợp và giúp người dùng biết về sự thay đổi trong chính sách kiểm tra. Sau khi được bật, ID sự kiện 4688 trong Nhật ký bảo mật
sẽ cung cấp nhiều thông tin liên quan đến các quy trình đã chạy trên hệ thống:
Mã sự kiện Sự miêu tả
4688 Một quy trình mới đã được tạo ra. Mô tả sự kiện cung cấp ID quy trình và Tên quy trình, ID quy
trình của người tạo, Tên quy trình của người tạo và Dòng lệnh quy trình (nếu được bật
Ngoài các chi tiết về quy trình, chi tiết về tài khoản người dùng được sử dụng để khởi chạy quy
Trong các hệ thống trước Windows 10/Server 2016 chỉ có một Chủ đề. Tuy nhiên, trong Windows 10
và Server 2016/2019, chúng tôi hiện nhận được thông tin chi tiết về Chủ đề người tạo và Chủ
đề mục tiêu.
Chủ đề người tạo (giống như Chủ đề trước Windows 10/Server 2016) liệt kê bối cảnh người
dùng mà Quy trình người tạo đang chạy. Chủ đề mục tiêu liệt kê bối cảnh người dùng mà quy trình
mới được tạo đang chạy. Ngoài các chi tiết về bối cảnh người dùng, chúng tôi còn nhận được
thông tin trong trường Loại độ cao mã thông báo về các đặc quyền quản trị của người dùng có thể
đã được chỉ định cho quy trình. Mã thông báo Loại 1 biểu thị mã thông báo đầy đủ, với tất cả
các đặc quyền có sẵn cho tài khoản người dùng đó, chẳng hạn như khi người dùng là tài khoản quản
trị viên tích hợp hoặc Kiểm soát truy cập người dùng (UAC) bị tắt. Loại 2 cho biết rằng mã
thông báo đầy đủ đã được cấp bởi người dùng chỉ định bỏ qua UAC, chẳng hạn như thông qua tùy
chọn Chạy với tư cách quản trị viên. Mã thông báo Loại 3 cho biết đặc quyền của quản trị viên đã
bị xóa do UAC.
Ngoài ID sự kiện 4688, việc kích hoạt theo dõi quy trình cũng có thể dẫn đến các mục nhật ký bảo mật bổ sung từ Windows Filtering
Platform liên quan đến kết nối mạng và cổng nghe như sau:
Trang 19 trên 25
Machine Translated by Google
Mã sự kiện Sự miêu tả
5031 Dịch vụ tường lửa của Windows đã chặn một ứng dụng chấp nhận các kết nối đến trên mạng.
5154 WFP đã cho phép một ứng dụng hoặc dịch vụ lắng nghe các kết nối đến trên một cổng.
5158 WFP đã cho phép liên kết với một cổng cục bộ.
5159 WFP đã chặn liên kết tới một cổng cục bộ.
Mô tả sự kiện của các sự kiện Nền tảng lọc Windows rất tự giải thích và chi tiết, bao gồm thông tin về số cổng và IP cục bộ và từ xa cũng
Có thể thấy, thông tin được ghi lại bằng cách kích hoạt kiểm tra theo dõi quy trình có thể có giá trị to lớn
nhưng cũng có thể tạo ra một lượng lớn dữ liệu. Thử nghiệm với môi trường thử nghiệm của bạn để tìm ra sự
cân bằng có thể tăng cường kiểm tra bảo mật một cách thích hợp trong môi trường sản xuất của bạn.
Trang 20 trên 25
Machine Translated by Google
xét), nhật ký sự kiện AppLocker chuyên dụng cũng sẽ được tạo. Được trình bày trong Trình xem sự kiện trong Nhật ký ứng
dụng và dịch vụ\Microsoft\Windows\AppLocker, các nhật ký sự kiện này được lưu trữ cùng với các nhật ký sự kiện khác
nhật ký riêng biệt bao gồm các tệp thực thi và thư viện liên kết động
(DLL), trình cài đặt Microsoft (MSI) và tập lệnh, triển khai ứng dụng đóng gói và thực thi ứng dụng đóng gói. Nhật ký sự
kiện được tạo sẽ khác nhau tùy thuộc vào việc AppLocker được đặt ở chế độ chỉ kiểm tra hay chế độ chặn.
Bạn có thể tìm thấy thông tin chi tiết về ID sự kiện cụ thể có thể áp dụng cho trường hợp của bạn tại đây.
Cũng nên nhớ rằng hệ thống chống vi-rút hoặc hệ thống phát hiện và phản hồi điểm cuối khác của bạn có thể tạo nhật ký hữu
ích có thể ghi lại các tệp được quét và/hoặc bị chặn. Ví dụ: Windows Defender duy trì nhật ký sự kiện tại C:
\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4Operational.evtx
và Microsoft-Windows-Windows Defender%4WHC.evtx chứa thông tin về phần mềm độc hại tiềm ẩn đã được phát hiện và các tập lệnh
đáng ngờ đã chạy (theo báo cáo của Giao diện quét phần mềm độc hại [AMSI]). ID sự kiện có thể được quan tâm trong
Mã sự kiện Sự miêu tả
1006 Công cụ chống phần mềm độc hại đã tìm thấy phần mềm độc hại hoặc phần mềm không mong muốn khác.
1007 Nền tảng chống phần mềm độc hại đã thực hiện hành động để bảo vệ hệ thống của bạn khỏi
phần mềm độc hại hoặc phần mềm không mong muốn khác.
1008 Nền tảng chống phần mềm độc hại đã cố gắng thực hiện một hành động để bảo vệ hệ thống của bạn
khỏi phần mềm độc hại hoặc phần mềm không mong muốn khác nhưng hành động đó không thành công.
1013 Nền tảng chống phần mềm độc hại đã xóa lịch sử phần mềm độc hại và phần mềm không mong muốn
khác.
1015 Nền tảng chống phần mềm độc hại đã phát hiện hành vi đáng ngờ.
1116 Nền tảng chống phần mềm độc hại đã phát hiện phần mềm độc hại hoặc phần mềm không mong muốn
khác.
1117 Nền tảng chống phần mềm độc hại đã thực hiện hành động để bảo vệ hệ thống của bạn khỏi
phần mềm độc hại hoặc phần mềm không mong muốn khác.
1118 Nền tảng chống phần mềm độc hại đã cố gắng thực hiện một hành động để bảo vệ hệ thống của bạn
khỏi phần mềm độc hại hoặc phần mềm không mong muốn khác nhưng hành động đó không thành công.
1119 Nền tảng chống phần mềm độc hại đã gặp phải lỗi nghiêm trọng khi cố gắng thực hiện hành động
đối với phần mềm độc hại hoặc phần mềm không mong muốn khác.
5007 Cấu hình nền tảng chống phần mềm độc hại đã thay đổi.
5010 Tính năng quét phần mềm độc hại và phần mềm không mong muốn khác bị tắt.
Bạn có thể tìm thêm thông tin chi tiết về bản ghi nhật ký sự kiện của Windows Defender tại đây.
Trang 21 trên 25
Machine Translated by Google
Bảo vệ khỏi sự khai thác của Windows là một tính năng của Windows 10 có thể cung cấp khả năng phòng thủ tuyệt vời trước một
loạt kỹ thuật khai thác của đối thủ. Tính năng này có thể bảo vệ cả hệ điều hành và các ứng dụng riêng lẻ khỏi các
vectơ tấn công thông thường, ngăn chặn việc khai thác khi việc đó có thể dẫn đến xâm phạm hệ thống. Mặc dù một số tính
năng bảo vệ chống khai thác được bật theo mặc định nhưng nhiều tính năng bị tắt do có khả năng can thiệp vào phần mềm
hợp pháp. Khi được bật, tính năng này sẽ ghi lại các hoạt động của nó trong các tệp nhật ký C:
\Windows\System32\winevt\Logs\Microsoft-Windows-Security-Mitigations%4KernelMode.evtx và
Microsoft-Windows-Security-Mitigations%4UserMode.evtx.
Nhiều thông tin thêm có thế được tìm thấy ở đây.
Một tùy chọn khác để nâng cao khả năng hiển thị các quy trình chạy trên hệ thống trong môi trường của bạn là triển khai Sysmon, một tiện
ích miễn phí của Sysinternals, hiện là một phần của Microsoft. Sysmon có thể được tải xuống miễn phí tại đây.
Khi được triển khai trên hệ thống, Sysmon sẽ cài đặt dưới dạng dịch vụ hệ thống và trình điều khiển thiết bị để tạo nhật
ký sự kiện liên quan đến các quy trình, kết nối mạng và sửa đổi thời gian tạo tệp. Nó tạo ra một danh mục nhật ký
mới được trình bày trong Trình xem sự kiện trong Nhật ký ứng dụng và dịch
bao gồm:
Mã sự kiện Sự miêu tả
1 Tạo quy trình (bao gồm nhiều chi tiết như ID tiến trình, đường dẫn đến tệp thực thi, hàm
băm của tệp thực thi, dòng lệnh được sử dụng để khởi chạy, tài khoản người dùng được sử
dụng để khởi chạy, ID tiến trình gốc, đường dẫn và dòng lệnh để thực thi chính, v.v.).
2 Một quá trình đã thay đổi thời gian tạo tập tin.
7 Đã tải hình ảnh (ghi lại thời điểm mô-đun được tải trong một quy trình cụ thể).
số 8
CreateRemoteThread (tạo một luồng trong một tiến trình khác).
9 RawAccessRead (quyền truy cập thô vào dữ liệu ổ đĩa bằng ký hiệu \\.\).
10 ProcessAccess (mở quyền truy cập vào không gian bộ nhớ của tiến trình khác).
Trang 22 trên 25
Machine Translated by Google
Trang 23 trên 25
Machine Translated by Google
Microsoft tiếp tục tăng số lượng nhật ký có sẵn xung quanh PowerShell để giúp chống lại việc sử dụng bất chính. Một lần nữa,
các phương tiện ghi nhật ký này phải được kích hoạt thông qua Chính sách nhóm, cụ thể là tại Cấu hình máy tính -> Chính
sách -> Mẫu quản trị -> Cấu phần Windows -> Windows PowerShell. Có thể có ba loại ghi nhật ký cơ bản, tùy thuộc vào phiên
o Ghi lại các lệnh đã được giải mã được gửi tới PowerShell;
o Chỉ ghi lại các lệnh chứ không ghi lại kết quả đầu ra;
• Phiên mã
o Sẽ không ghi lại đầu ra của các chương trình bên ngoài đang chạy, chỉ PowerShell;
o Ghi nhật ký vào tệp văn bản ở vị trí do người dùng chỉ định.
Sau khi được bật, những nhật ký này có thể cung cấp nhiều thông tin liên quan đến việc sử dụng PowerShell trên hệ thống của
bạn. Nếu bạn thường xuyên chạy nhiều tập lệnh PowerShell, điều này có thể tạo ra một lượng lớn dữ liệu, vì vậy hãy nhớ kiểm tra
và điều chỉnh các cơ sở kiểm tra để đạt được sự cân bằng giữa khả năng hiển thị và tải trước khi triển khai những thay đổi đó
Các mục nhật ký sự kiện PowerShell xuất hiện trong các nhật ký sự kiện khác nhau. Bên trong %SystemRoot%\System32\winevt\
Mã sự kiện Sự miêu tả
4103 Hiển thị việc thực hiện quy trình từ cơ sở ghi nhật ký mô-đun. Bao gồm bối cảnh người dùng được
sử dụng để chạy các lệnh. Trường tên máy chủ sẽ chứa Bảng điều khiển nếu
được thực thi cục bộ hoặc sẽ hiển thị nếu chạy từ hệ thống từ xa.
4104 Hiển thị các mục ghi nhật ký khối tập lệnh. Ghi lại các lệnh được gửi tới PowerShell chứ không
phải đầu ra. Ghi lại chi tiết đầy đủ của từng khối chỉ trong lần sử dụng đầu tiên để tiết kiệm
không gian. Sẽ hiển thị dưới dạng sự kiện ở cấp độ Cảnh báo nếu Microsoft coi hoạt động
đó là Đáng ngờ.
Các mục bổ sung có thể được tìm thấy trong %SystemRoot%\System32\winevt\Logs\Windows PowerShell.evtx
nhật ký:
Mã sự kiện Sự miêu tả
400 Cho biết sự bắt đầu thực hiện lệnh hoặc phiên. Trường tên máy chủ hiển thị nếu
(cục bộ) Bảng điều khiển hoặc phiên từ xa gây ra việc thực thi.
Trang 24 trên 25
Machine Translated by Google
800 Hiển thị chi tiết thực hiện đường ống. UserID hiển thị tài khoản được sử dụng. Trường tên máy
chủ hiển thị nếu Bảng điều khiển (cục bộ) hoặc phiên từ xa gây ra việc thực thi. Vì nhiều tập
lệnh độc hại mã hóa các tùy chọn bằng Base64, hãy kiểm tra trường HostApplication để biết các
Hãy nhớ rằng PowerShell Remote yêu cầu quyền truy cập được xác thực, vì vậy hãy tìm cả các sự kiện Đăng nhập tài khoản và
Trang 25 trên 25