日志分析
windows日志位置:C:\Windows\System32\winevt\Logs
Windows日志主要看Security、Powershell、System、Setup这四篇日志,其中最主要的是分析Security安全日志
事件ID 4624登陆成功、事件ID 4625登陆失败 基础知识了
分析安全日志时,我使用的是evtxLogparse可以快速的跑出安全日志中的SMB爆破事件(445端口)和RDP爆破时间(3389端口)就像下图这样。
需要注意的是分析完后"Next 10 rows"要点击一下避免错漏信息。还有一点需要注意的是,在看SMB爆破时,1s内发生12次以下不能断定该用户被爆破,用户可能是因为不小心输错密码登陆失败,但是产生了12条登录失败的日志。
还有一点就是4624中出现ANONYMOUS LOGON的日志属于无效告警
日志的登陆类型,重点关注的就是登陆类型3和10
登录类型2:交互式登录
本地电脑登陆、KVM登录
登陆类型3:网络登录
最常见的情况就是连接共享文件夹或打印机也就是445端口登录
登陆类型5:服务
当一个服务开始时,windows首先会为这个特定的用户创建一个会话,
这将会被标记为类型5
登陆类型7:解锁
电脑锁屏解锁
登录类型10:远程交互
一般是通过3389远程连接登录