利用 Windows 事件日志进行有效的威胁搜寻

Windows 事件日志是威胁猎人的关键工具，它提供系统活动的详细洞察，以检测和响应潜在的安全威胁。通过关注特定的事件 ID，威胁猎人可以识别与用户身份验证、进程执行、文件访问和日志篡改相关的可疑行为。这篇博文提供了关键 Windows 事件 ID 的简明指南，以及在威胁猎人中使用它们的实用策略。

用户身份验证和权限提升

监控用户登录和帐户更改对于检测未经授权的访问或特权滥用至关重要。

• 4624：成功登录——跟踪用户成功登录的情况。查找异常的登录时间、IP地址或登录类型（例如，从外部IP地址进行RDP访问）。

• 4625：登录尝试失败——表示登录尝试失败。多次失败可能表明存在暴力破解或密码喷洒攻击。

• 4672：已分配特殊权限 - 记录管理员权限分配。监控非管理员账户意外授予的权限。

• 4720：用户帐户创建——记录新帐户的创建情况。未经授权的帐户可能表明存在持续攻击尝试。

• 4724：密码重置尝试 - 跟踪密码重置尝试次数。注意意外用户对特权帐户的重置。

• 4738：用户帐户已更改——捕获帐户修改，例如组成员身份变更。查找未经授权的权限提升。

• 4740：帐户锁定——记录帐户锁定情况。与 4625 关联，以检测暴力破解尝试。

威胁搜寻提示：关联 4624 和 4625 事件，以便在多次失败后识别成功的登录。建立正常登录行为的基线并标记异常情况，例如非工作时间登录或未经 IT 部门批准添加的新账户。

进程执行和恶意软件分析

跟踪流程和服务活动有助于发现恶意软件、后门或未经授权的应用程序。

• 4688：新进程创建——记录新进程，包括可执行文件路径和父进程。查找从异常位置（例如 %Temp%）启动的进程。

• 7045、4697：服务安装——记录新服务。监控名称或路径可疑的服务。

• 4700/4701：已启用/禁用计划任务——跟踪计划任务的变化。未经授权的任务可能表示存在持久性。

• 1102：事件日志已清除——表示日志已清除，这是隐藏恶意活动的常用策略。

• 1118：表示反恶意软件平台（Microsoft Defender）尝试执行保护系统的操作，但操作失败

• 1119：表示保护系统的反恶意软件操作已成功

• 1120：表示保护系统的反恶意软件操作失败。

• 5001：防病毒配置已更改——跟踪防病毒设置的更改。未经授权的更改可能暗示存在规避行为。

• 4103/4104：PowerShell 活动 - 记录 PowerShell 模块和脚本的执行情况。查找混淆的脚本或可疑的 cmdlet。

威胁搜寻提示：使用 4688 构建进程树并检测异常，例如 cmd.exe 生成 PowerShell。启用 4103/4104 事件的 PowerShell 日志记录，以监控脚本活动。

文件和对象访问监控

监控文件和共享访问有助于检测数据泄露或对敏感资源的未经授权的访问。

• 4663：文件访问尝试——记录文件访问尝试。监控对敏感文件（例如 SAM 注册表配置单元）的访问。

• 5140：网络共享访问——跟踪网络共享的访问情况。查找来自异常 IP 或账户的访问。

• 5142：已添加网络共享 — 记录新的共享。未经授权的共享可能表示数据暂存。

• 5145：访问共享对象——详细说明对共享文件/文件夹的访问情况。请留意疑似勒索软件的大规模访问。

威胁搜寻提示：启用关键文件和共享的审计功能。对正常访问模式进行基准测试，并对异常情况（例如外部 IP 访问敏感共享）发出警报。

日志操纵和篡改

攻击者经常操纵日志来逃避检测，因此这些事件对于威胁搜寻至关重要。

• 1102：安全日志已清除 — 表示日志已清除。请将其视为高优先级警报。

• 104：日志服务已停止 — 当事件日志服务停止时进行记录，可能会禁用日志记录。

• 4689：进程终止——记录进程终止。查找安全进程（例如防病毒软件）的终止。

• 4719：审计策略已更改 — 跟踪审计策略变更。未经授权的更改可能会降低日志记录的可见性。

威胁搜寻提示：配置 1102 和 104 事件的即时警报。将日志转发至 SIEM，以防篡改。