常见 Event ID(事件 ID)
常见 Event ID(事件 ID)
-
登录与认证 (Login & Authentication)
| Event ID | 严重等级 | 描述 | 关键分析点 |
|---|---|---|---|
| 4624 | 🌟🌟🌟 | 登录成功 | 重点看 Logon Type (登录类型): • 2: 本地交互式登录 (键盘操作) • 3: 网络登录 (SMB/IPC$, 横向移动常见) • 10: 远程桌面 (RDP) • 5: 服务启动 |
| 4625 | 🌟🌟🌟 | 登录失败 | 重点看 Failure Reason: • 0xC000006D: 用户名或密码错误 (暴力破解特征) • 0xC0000064: 用户名不存在 (字典枚举) |
| 4672 | 🌟🌟 | 特殊权限登录 | 管理员登录时触发。如果一个普通用户触发此ID,意味着提权。 |
| 4634 / 4647 | 🌟 | 注销登录 | 用于计算用户的在线时长(Session Duration)。 |
| 4648 | 🌟🌟 | 使用显式凭证登录 | 使用 runas 命令或以此类推方式运行程序时触发,可能是提权尝试。 |
-
账户与组管理 (User & Group Management)
| Event ID | 严重等级 | 描述 | 关键分析点 |
|---|---|---|---|
| 4720 | 🌟🌟🌟 | 创建了新用户 | 必须核对是否为管理员主动操作。 |
| 4726 | 🌟🌟 | 删除用户 | 攻击者可能在使用完临时账号后将其删除以隐藏踪迹。 |
| 4722 | 🌟🌟 | 用户账号被启用 | 启用了 Guest 或其他默认禁用的账户。 |
| 4723 / 4724 | 🌟 | 修改/重置密码 | 强制修改管理员密码。 |
| 4732 / 4728 | 🌟🌟🌟 | 添加成员到安全组 | 重点监控 Administrators 组。如果有未知账号被加入管理员组,基本确认为入侵。 |
-
系统与进程执行 (System & Execution)
| Event ID | 来源 | 描述 | 关键分析点 |
|---|---|---|---|
| 4688 | Security | 创建新进程 | 最重要的执行审计日志。如果开启了“包含命令行”选项,可以看到攻击者执行的具体命令 (如 whoami, powershell -enc ...)。 |
| 7045 | System | 安装了新服务 | 攻击者常将木马注册为服务以实现开机自启。检查服务名称和对应的 ImagePath (文件路径)。 |
| 4697 | Security | 系统中安装了服务 | 与 7045 类似,但记录在 Security 日志中。 |
| 4698 | Security | 创建计划任务 | 常见的持久化手段 (Persistence)。 |
| 4699 | Security | 删除计划任务 | 清理痕迹。 |
-
痕迹清除与逃避 (Defense Evasion)
| Event ID | 描述 | 关键分析点 |
|---|---|---|
| 1102 | 安全审计日志已清除 | 绝对的高危信号。除非是运维维护,否则这就意味着攻击者已经拿到了权限并试图毁灭证据。 |
| 104 | 系统日志文件已清除 | 类似于 1102,但是针对 System 日志。 |
| 7036 | 服务停止/启动 | 监控关键服务(如 Windows Defender, Firewall)是否被恶意停止。 |
浙公网安备 33010602011771号