iT邦幫忙

2023 iThome 鐵人賽

DAY 5
1
Security

故事從撿到一顆硬碟開始系列 第 5

[Day05] 常用事件

  • 分享至 

  • xImage
  •  

Windows系統大量的事件記錄,每種事件有對應的Event ID,用於識別和分類不同的事件,如:登入失敗、異常連線、建立系統服務等等,透過分析這些事件記錄,可以幫助識別出攻擊者的入侵行為。

528 / 4624 使用者成功登入
529 / 4625 使用者名稱或密碼錯誤
530 / 4625 非法時間進行登入
531 / 4625 已停用的帳戶試圖登入
532 / 4625 過期的帳戶試圖登入
533 / 4625 系統不允許該使用者登入
534 / 4625 不被允許的登入類型
535 / 4625 帳戶密碼已經過期
536 / 4625 沒有啟用Net Logon服務
537 / 4625 因其他原因而登入失敗
539 / 4625 試圖登入時被鎖定


601 / 4697 嘗試安裝服務
602 / 4698 排程工作已被建立
624 / 4720 帳號建立
630 / 4726 帳號刪除
636 / 4732 新增administrators成員
627 / 4723 修改帳戶密碼
628 / 4724 重設帳戶密碼


517 / 1102 稽核記錄被清除
592 / 4688 已建立新的處理程序
593 / 4689 處理程序已結束
626 / 4722 帳號啟用


7000 服務啟動存取被拒
6005 Event log 己啟動
6006 Event log 已停用
12/13 主機啟動/主機關機


629 / 4725 帳號停用
644 / 4740 帳號被鎖定
552 / 4648 切換不同帳號登入
612 / 4719 變更Audit Policy

當遭受遠端連線入侵時,可以利用系統事件追蹤的 Event ID 4624,查詢該主機上有哪些帳號登入,並了解連線的來源和連線 Port,而透過關聯的 Logon ID,也可以追蹤攻擊者在入侵後進行的攻擊行為,有助於確認入侵的範圍和可能造成的威脅,並進一步強化防護措施。


上一篇
[Day04] LogonTracer
下一篇
[Day06]System Monitor
系列文
故事從撿到一顆硬碟開始30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言