| Windows安全日志分析(事件ID詳解) | 您所在的位置:網(wǎng)站首頁 › 屬狗和屬虎的和嗎 › Windows安全日志分析(事件ID詳解) |
Windows安全日志分析(事件ID詳解)
|
目錄 如何查看Windows安全日志 常見事件ID列表 事件ID 1116 - 防病毒軟件檢測(cè)到惡意軟件 事件ID 4624 - 賬戶登錄成功 事件ID 4625 - 賬戶登錄失敗 事件ID 4672 - 為新登錄分配特殊權(quán)限 事件ID 4688 - 新進(jìn)程創(chuàng)建 事件ID 4689 - 進(jìn)程終止 事件ID 4720 - 用戶賬戶創(chuàng)建 事件ID 4726 - 用戶賬戶刪除 事件ID 4732 - 成員被添加到啟用安全的本地組 事件ID 4771 - Kerberos預(yù)身份驗(yàn)證失敗 事件ID 5001 - 防病毒實(shí)時(shí)保護(hù)配置已更改 事件ID 5140 - 網(wǎng)絡(luò)共享訪問 事件ID 5156 - Windows篩選平臺(tái)(WFP)允許網(wǎng)絡(luò)連接 事件ID 5158 - Windows篩選平臺(tái)已允許綁定到本地端口 事件ID 7045 - 系統(tǒng)中安裝了服務(wù) 如何查看Windows安全日志打開事件查看器: 按?Win + R?鍵,打開運(yùn)行窗口。輸入?eventvwr,然后按回車。導(dǎo)航到安全日志: 在事件查看器的左側(cè)面板中,展開?“Windows 日志”。點(diǎn)擊?“安全”,這將顯示安全相關(guān)的事件日志。查看日志條目: 在右側(cè)面板中,你可以看到所有的安全事件。可以通過雙擊某個(gè)事件查看詳細(xì)信息。
這個(gè)事件記錄了Windows Defender檢測(cè)到惡意軟件的情況。如果短時(shí)間內(nèi)出現(xiàn)大量此類事件,可能意味著有針對(duì)性的攻擊或廣泛的惡意軟件感染。 事件ID 4624 - 賬戶登錄成功通過監(jiān)控這些登錄事件,我們可以跟蹤誰在何時(shí)訪問了系統(tǒng)。留意異常的訪問模式,可能暗示未經(jīng)授權(quán)的活動(dòng)。
登錄失敗嘗試由此事件ID記錄。這對(duì)于識(shí)別潛在的暴力破解攻擊或未經(jīng)授權(quán)的訪問嘗試非常重要。通過密切關(guān)注這些事件,我們可以及早發(fā)現(xiàn)可疑行為并采取行動(dòng)。 事件ID 4672 - 為新登錄分配特殊權(quán)限當(dāng)用戶被授予特殊權(quán)限時(shí),會(huì)生成此事件。這對(duì)于發(fā)現(xiàn)權(quán)限提升至關(guān)重要,因?yàn)樗赡鼙砻鞴粽哒讷@得更高級(jí)別的訪問權(quán)限。定期檢查這些日志有助于確保權(quán)限變更的合法性。 事件ID 4688 - 新進(jìn)程創(chuàng)建此事件記錄了新進(jìn)程的創(chuàng)建。這對(duì)于識(shí)別系統(tǒng)上運(yùn)行的可疑或未經(jīng)授權(quán)的應(yīng)用程序很重要。跟蹤進(jìn)程創(chuàng)建有助于及早發(fā)現(xiàn)潛在威脅。 事件ID 4689 - 進(jìn)程終止當(dāng)進(jìn)程終止時(shí),會(huì)觸發(fā)此事件。這有助于了解進(jìn)程的生命周期,并可用于與進(jìn)程創(chuàng)建事件相關(guān)聯(lián)。這是監(jiān)控系統(tǒng)活動(dòng)的另一個(gè)重要環(huán)節(jié)。 事件ID 4720 - 用戶賬戶創(chuàng)建此事件記錄了新用戶賬戶的創(chuàng)建。這對(duì)于監(jiān)控誰被添加到系統(tǒng)中以及確保賬戶創(chuàng)建符合組織政策至關(guān)重要。意外出現(xiàn)的新賬戶可能是一個(gè)危險(xiǎn)信號(hào)。 事件ID 4726 - 用戶賬戶刪除當(dāng)用戶賬戶被刪除時(shí),會(huì)記錄此事件。這有助于跟蹤用戶賬戶的變化并發(fā)現(xiàn)任何潛在的惡意刪除行為。監(jiān)控這些事件可以確保賬戶管理的安全性。 事件ID 4732 - 成員被添加到啟用安全的本地組此事件記錄了用戶被添加到具有提升權(quán)限的安全組的情況。這對(duì)于監(jiān)控用戶權(quán)限的變更和防止未經(jīng)授權(quán)的權(quán)限提升非常重要。 事件ID 4771 - Kerberos預(yù)身份驗(yàn)證失敗這個(gè)事件類似于4625(登錄失敗),但專門針對(duì)Kerberos身份驗(yàn)證。如果出現(xiàn)異常數(shù)量的此類日志,可能表明攻擊者正在嘗試暴力破解您的Kerberos服務(wù)。 事件ID 5001 - 防病毒實(shí)時(shí)保護(hù)配置已更改此事件表明Defender的實(shí)時(shí)保護(hù)設(shè)置已被修改。未經(jīng)授權(quán)的更改可能表明有人試圖禁用或破壞Defender的功能。 事件ID 5140 - 網(wǎng)絡(luò)共享訪問事件ID 5140記錄了對(duì)網(wǎng)絡(luò)共享的訪問。這對(duì)于檢測(cè)未經(jīng)授權(quán)的文件訪問或數(shù)據(jù)泄露非常有用。通過監(jiān)控網(wǎng)絡(luò)共享訪問,我們可以確保文件共享實(shí)踐的安全性。 事件ID 5156 - Windows篩選平臺(tái)(WFP)允許網(wǎng)絡(luò)連接
此事件捕獲了Windows篩選平臺(tái)允許的網(wǎng)絡(luò)連接。它有助于識(shí)別異常或未經(jīng)授權(quán)的網(wǎng)絡(luò)流量,這對(duì)維護(hù)網(wǎng)絡(luò)安全至關(guān)重要。 事件ID 5158 - Windows篩選平臺(tái)已允許綁定到本地端口當(dāng)WFP阻止網(wǎng)絡(luò)連接時(shí),會(huì)生成事件ID 5158。這有助于了解哪些網(wǎng)絡(luò)流量被阻止,并排除任何潛在的安全問題。 事件ID 7045 - 系統(tǒng)中安裝了服務(wù)突然出現(xiàn)未知服務(wù)可能表明惡意軟件安裝,因?yàn)樵S多類型的惡意軟件會(huì)將自己安裝為服務(wù)。 |
【本文地址】