2026/1/19 17:05:02
网站建设
项目流程
常见 Event ID(事件 ID)
-
登录与认证 (Login & Authentication)
| Event ID |
严重等级 |
描述 |
关键分析点 |
| 4624 |
🌟🌟🌟 |
登录成功 |
重点看 Logon Type (登录类型): • 2: 本地交互式登录 (键盘操作) • 3: 网络登录 (SMB/IPC$, 横向移动常见) • 10: 远程桌面 (RDP) • 5: 服务启动 |
| 4625 |
🌟🌟🌟 |
登录失败 |
重点看 Failure Reason: • 0xC000006D: 用户名或密码错误 (暴力破解特征) • 0xC0000064: 用户名不存在 (字典枚举) |
| 4672 |
🌟🌟 |
特殊权限登录 |
管理员登录时触发。如果一个普通用户触发此ID,意味着提权。 |
| 4634 / 4647 |
🌟 |
注销登录 |
用于计算用户的在线时长(Session Duration)。 |
| 4648 |
🌟🌟 |
使用显式凭证登录 |
使用 runas 命令或以此类推方式运行程序时触发,可能是提权尝试。 |
-
账户与组管理 (User & Group Management)
| Event ID |
严重等级 |
描述 |
关键分析点 |
| 4720 |
🌟🌟🌟 |
创建了新用户 |
必须核对是否为管理员主动操作。 |
| 4726 |
🌟🌟 |
删除用户 |
攻击者可能在使用完临时账号后将其删除以隐藏踪迹。 |
| 4722 |
🌟🌟 |
用户账号被启用 |
启用了 Guest 或其他默认禁用的账户。 |
| 4723 / 4724 |
🌟 |
修改/重置密码 |
强制修改管理员密码。 |
| 4732 / 4728 |
🌟🌟🌟 |
添加成员到安全组 |
重点监控 Administrators 组。如果有未知账号被加入管理员组,基本确认为入侵。 |
-
系统与进程执行 (System & Execution)
| Event ID |
来源 |
描述 |
关键分析点 |
| 4688 |
Security |
创建新进程 |
最重要的执行审计日志。如果开启了“包含命令行”选项,可以看到攻击者执行的具体命令 (如 whoami, powershell -enc ...)。 |
| 7045 |
System |
安装了新服务 |
攻击者常将木马注册为服务以实现开机自启。检查服务名称和对应的 ImagePath (文件路径)。 |
| 4697 |
Security |
系统中安装了服务 |
与 7045 类似,但记录在 Security 日志中。 |
| 4698 |
Security |
创建计划任务 |
常见的持久化手段 (Persistence)。 |
| 4699 |
Security |
删除计划任务 |
清理痕迹。 |
-
痕迹清除与逃避 (Defense Evasion)
| Event ID |
描述 |
关键分析点 |
| 1102 |
安全审计日志已清除 |
绝对的高危信号。除非是运维维护,否则这就意味着攻击者已经拿到了权限并试图毁灭证据。 |
| 104 |
系统日志文件已清除 |
类似于 1102,但是针对 System 日志。 |
| 7036 |
服务停止/启动 |
监控关键服务(如 Windows Defender, Firewall)是否被恶意停止。 |