Windows事件响应指南(下)

最新推荐文章于 2024-04-12 13:50:19 发布
最新推荐文章于 2024-04-12 13:50:19 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 网络安全 Windows 日志分析 文章标签: windows linux bash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43200882/article/details/127527626
版权

事件响应指南(完结篇)

前排提示: 使用手机预览的时候, 横屏预览更佳~

在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。

多年来,微软不断提高其审计设施的效率和有效性。 现代 Windows 系统可以以最小的系统影响记录大量信息。

一般来说企业会选择一种工具来获取日志,这个工具叫做Security information and event management(SIEM) ,安全,信息和事件管理。

在 Windows 系统上配置足够的日志记录,并在理想情况下将这些日志聚合到 SIEM 或其他日志聚合器中,能够确保我们在SIEM中的搜索语句找到自己想要的日志。

进程跟踪

与许多 Linux shell(例如 bash)不同,Windows cmd.exe shell 不保留用户运行的命令的历史记录。这在事件处理程序了解攻击者对受感染主机所采取的操作的能力方面造成了明显的差距。不依赖恶意软件而是使用内置 Windows 的command.exe攻击的兴起只会让这个盲点更具破坏性。虽然在 Windows 的早期阶段,审核进程创建被认为过于系统化

虽然并非每个系统都需要,但在关键系统上启用此功能正日益成为安全意识环境中的标准做法。这需要设置两个单独的组策略设置。首先当然是计算机配置-> Windows 设置-> 安全设置-> 本地策略-> 审核策略-> 审核过程跟踪。启用后,安全日志中的事件 ID 4688 会提供有关已在系统上运行的进程的大量信息:

事件ID 描述 Description
4688 已创建一个新进程。事件描述提供进程ID 和进程名称、创建者进程ID、创建者进程名称和进程命令行(需要单独启用) A new process has been created. The event description provides the Process ID and Process Name, Creator Process ID, Creator Process Name, and Process Command Line (if enabled separately, as outlined earlier in this section).

除了事件 ID 4688,开启进程跟踪还可能导致来自 Windows 过滤平台的与网络连接和侦听端口相关的额外安全日志条目,如下所示:

Windows Filter筛选 (WFP) 事件 ID

事件ID 描述 Description
5031 Windows 防火墙服务阻止应用程序接受网络上的传入连接。 The Windows Firewall Service blocked an application from accepting incoming connections on the network.
5152 WFP 阻止了一个数据包。 The WFP blocked a packet.
5154 WFP 已允许应用程序或服务在端口上侦听传入连接。 The WFP has permitted an application or service to listen on a port for incoming connections.
5156 WFP已允许建立联系。 The WFP has allowed a connection.
5157 WFP 已阻止连接。 The WFP has blocked a connection.
5158 WFP 已允许绑定到本地端口。 The WFP has permitted a bind to a local port.
5159 WFP 已阻止绑定到本地端口。 The WF
最低0.47元/天 解锁文章
持宠
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
windows日志事件ID列表(604个)
飞雪 SecurityBlog
06-08 1226
windows日志事件ID列表(604个)
window事件
weixin_30478757的博客
08-31 906
window事件是较为重要的事件,接下来就讲解一下。 1.获取页面滚动栏的距离   什么是滚动栏,就是网页内容过多时,通过滚轮控制上下显示或者左右显示;   为窗口添加滚动条事件:   window.onscroll=function(){};   注意在获取滚动条距离的时候   谷歌不识别document.documentElement.scrollTop,必须要加上doc...
iframe src更改事件检测?_windows安全事件id汇总
weixin_39842955的博客
11-06 421
EVENT_ID 安全事件信息 1100 ----- 事件记录服务已关闭 1101 ----- 审计事件已被运输中断。 1102 ----- 审核日志已清除 1104 ----- 安全日志现已满 1105 ----- 事件日志自动备份 1108 ----- 事件日志记录服务遇到错误 4608 ----- W...
Windows日志】记录系统事件日志
第一天
10-14 1万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
Windows事件查看器介绍
Jian Sun_的博客
01-31 1万+
介绍 很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。 打开后,定位到windows日志栏下,可以看到有三种类型的日志,分别是应用程序日志、安全日志和系统日志,如下图。 应用程序日志 应用程序日志记录了系统程序运行时的事件,例如错误、崩溃等情况,包括安装的程序及系统自带的程序。 安全日志 安全日志记录了一些用户登录事件、文件的创建打开删除事件等。 系统日志 系统日志记录.
windows+linux下的应急响应
06-11
WindowsLinux应急响应:深度剖析与实践指南》 应急响应是信息安全领域中至关重要的一环,尤其是在面临黑客攻击时,迅速、有效地应对可以减少损失,防止事态进一步恶化。本篇将深入探讨WindowsLinux系统在遭受...
Windows7开发者指南_v1.5.rar
03-16
4. **多点触控支持**:介绍Windows 7的多点触控API,如何检测和响应触摸事件,以及创建触摸友好型应用程序。 5. **Windows API和库**:详细解析Windows API函数,包括新的API和已有的API在Windows 7中的变化,以及...
Windows 窗体开发指南.pdf
08-09
Windows 窗体中,可以使用事件处理程序来响应用户的输入。 5. 如何:在运行时为 Windows 窗体创建事件处理程序 在 Windows 窗体中,可以使用代码来创建事件处理程序。在 Visual Studio 中,可以使用 Designer ...
重要时期安全保障方案及应急响应指南.zip
04-02
内容包括:重要时期安全保障方案、安全事件分类分级标准、应急演练方案、恶意代码应急响应指南、web攻击及篡改应急响应指南、DDOS攻击应急响应指南、网络设备应急响应指南Windows应急响应指南Linux应急响应指南...
Windows WDM驱动程序开发指南
12-20
**Windows WDM驱动程序开发指南** Windows WDM(Windows Driver Model)是微软为Windows操作系统设计的一种设备驱动程序模型,它支持从Windows 98到Windows 10等多个版本。WDM驱动程序允许硬件制造商为他们的硬件...
windows事件ID及解释大全(非常完整).doc
05-31
windows事件ID及解释大全 不同版本windows操作系统的事件ID
Windows应急响应
热门推荐
weixin_43526443的博客
01-28 7万+
临近冬奥、残奥,发一篇Windows的应急响应,希望对大家有所帮助,下一篇会发Linux的应急响应
windows事件学习笔记
lygl35的博客
02-12 392
事件可以作为通知类型来使用,通知类型可以使两个线程同时运行 第一个参数是安全描述符,只要是内核对象都有这个参数 第二个参数设置为TURE就是通知类型,FALSE就是互斥体 CreateEvent第三个参数是FALSE就是没有信号,没有信号时线程跑到waitForSingleObject就会阻塞,就是不往下执行了 可以通过 SetEvent 把事件修改为有信号 创建事件 线程同步 同步=互斥+有序 互斥本身是无序的,变成有序的互斥就是同步 SetEvent本质就是挂起自己,通知别人执行 .
Windows安全事件ID汇总
钻石
04-12 2275
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。这可能是由于使用共享部分或其他问题。
Window事件日志分析
Chur的博客
09-18 2957
windows 事件日志分析
WMI攻击检测
Ping_Pig的博客
11-09 1071
讲在前面:     无论何种攻击手法在日志或流量是都会留下一定的痕迹,但是使用何种的规则将其监控到,这是令防守方头大的问题。WMI横向移动、权限维持都会在日志监控到。至于如何制定规则,本文不展开。 总之两点: 做好 WMI 连接的网络流量监控,一般不使用 WMI 的环境若出现了使用 WMI的情况,则内部网络可能已经被入侵。 做好进程监控,监测”wmic.exe“的命令行参数及其执行的命令。 日志检测 注意:在日志检测中,最重要的数据来源就是Windows日志,而
Windows取证篇】Window日志分析基础知识(一)
蘇小沐的电子数据取证博客
01-17 3602
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】
Windows日志分析
Stestack的博客
05-16 1201
windows日志排查体系
Windows DFIR数字取证与事件响应
最新发布
04-15
Windows DFIR(数字取证与事件响应)是一种系统化的方法,用于识别、调查和应对网络安全事件。DFIR流程通常包括以下几个关键步骤: 1. **准备阶段**: - 建立和训练一个专业的应急响应团队。 - 制定和维护应急响应计划,包括通信协议、角色和职责。 - 确保拥有必要的工具和资源,如取证软件、备份数据和硬件设备。 - 进行定期的安全培训和演练,以确保团队成员熟悉流程和工具。 2. **识别阶段**: - 监控网络和系统活动,以便及时发现可疑行为或已知威胁指标(IOCs)。 - 使用自动化工具(如入侵检测系统、防病毒软件)来辅助识别潜在的安全事件。 - 接收来自员工或用户的安全事件报告。 3. **遏制阶段**: - 一旦确认安全事件,立即采取措施限制其影响范围。 - 隔离受影响的系统和网络,防止恶意行为扩散。 - 保留所有相关日志和数据,以便后续调查。 4. **调查阶段**: - 对受影响的系统进行详细的取证分析,包括系统日志、内存转储、网络流量等。 - 确定攻击者的入侵途径、在系统中的活动以

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值