Windows系統大量的事件記錄,每種事件有對應的Event ID,用於識別和分類不同的事件,如:登入失敗、異常連線、建立系統服務等等,透過分析這些事件記錄,可以幫助識別出攻擊者的入侵行為。
528 / 4624 使用者成功登入
529 / 4625 使用者名稱或密碼錯誤
530 / 4625 非法時間進行登入
531 / 4625 已停用的帳戶試圖登入
532 / 4625 過期的帳戶試圖登入
533 / 4625 系統不允許該使用者登入
534 / 4625 不被允許的登入類型
535 / 4625 帳戶密碼已經過期
536 / 4625 沒有啟用Net Logon服務
537 / 4625 因其他原因而登入失敗
539 / 4625 試圖登入時被鎖定
601 / 4697 嘗試安裝服務
602 / 4698 排程工作已被建立
624 / 4720 帳號建立
630 / 4726 帳號刪除
636 / 4732 新增administrators成員
627 / 4723 修改帳戶密碼
628 / 4724 重設帳戶密碼
517 / 1102 稽核記錄被清除
592 / 4688 已建立新的處理程序
593 / 4689 處理程序已結束
626 / 4722 帳號啟用
7000 服務啟動存取被拒
6005 Event log 己啟動
6006 Event log 已停用
12/13 主機啟動/主機關機
629 / 4725 帳號停用
644 / 4740 帳號被鎖定
552 / 4648 切換不同帳號登入
612 / 4719 變更Audit Policy
當遭受遠端連線入侵時,可以利用系統事件追蹤的 Event ID 4624,查詢該主機上有哪些帳號登入,並了解連線的來源和連線 Port,而透過關聯的 Logon ID,也可以追蹤攻擊者在入侵後進行的攻擊行為,有助於確認入侵的範圍和可能造成的威脅,並進一步強化防護措施。