ayberkkrtls/windows-log-analysis

# 🪟 Windows 日志分析精通

一个用于精通 **Windows 事件日志** 的实战学习仓库 —— 这是 SOC 分析、事件响应和威胁狩猎的基石。每个条目都记录了真实的攻击者足迹、检测逻辑以及 MITRE ATT&CK 映射。 ## 🎯 目标 ## 📁 仓库结构 ``` windows-log-analysis/ ├── logs/ # Event ID documentation (description, fields, detection logic) └── scenarios/ # End-to-end attack scenarios with detection chains ``` ## 🗺️ 路线图 ### ✅ 第一阶段：基础（已完成） | 事件 ID | 描述 | 文档 | | :---: | :--- | :---: | | **4624** | 登录成功 | [📄 查看](logs/4624-successful-logon.md) | | **4625** | 登录失败 | [📄 查看](logs/4625-failed-logon.md) | | **4688** | 进程创建 | [📄 查看](logs/4688-process-creation.md) | | **4720** | 用户账户创建 | [📄 查看](logs/4720-user-creation.md) | | **4672** | 管理员登录（特殊权限） | [📄 查看](logs/4672-special-privileges.md) | | **—** | 登录类型参考指南 | [📄 查看](logs/logon-types-reference.md) | | **场景** | 暴力破解检测逻辑 | [📄 查看](scenarios/brute-force-detection.md) | ### ✅ 第二阶段：持久化与规避（已完成） | 事件 ID | 描述 | 文档 | | :---: | :--- | :---: | | **4698** | 创建了计划任务（持久化） | [📄 查看](logs/4698-scheduled-task-created.md) | | **7045** | 安装了新服务（持久化） | [📄 查看](logs/7045-service-installed.md) | | **1102** | 审计日志被清除（反取证） | [📄 查看](logs/1102-audit-log-cleared.md) | | **场景** | 通过 RDP 检测横向移动 | [📄 查看](scenarios/lateral-movement-rdp.md) | ### 🔲 第三阶段：权限提升与凭证访问（计划中） | 事件 ID | 描述 | | :---: | :--- | | **4670** | 对象的权限已更改 | | **4732** | 已将成员添加到启用安全的本地组 | | **4768** | 请求了 Kerberos 身份验证票证 (TGT) | | **4769** | 请求了 Kerberos 服务票证 | | **4776** | 域控制器尝试验证凭据 (NTLM) | | **场景** | Pass-the-Hash / Pass-the-Ticket 攻击检测 | ## 🧠 核心概念 | 概念 | 为何重要 | | :--- | :--- | | **LogonType** | 区分交互式、网络和远程登录会话 | | **MITRE ATT&CK** | 将事件 ID 映射到现实世界的对手技术和战术 | | **Detection Logic** | 将日志模式转化为可执行的 SOC 告警 | | **False Positives** | 了解良性触发器对于减少告警疲劳至关重要 | ## 📚 资源 - [Microsoft 事件 ID 参考](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview) - [MITRE ATT&CK 框架](https://attack.mitre.org/) - [Sigma 规则](https://github.com/SigmaHQ/sigma)

标签：Cloudflare, MITRE ATT&CK, PoC, 事件ID, 协议分析, 子域名枚举, 安全运营中心, 库, 应急响应, 攻击场景, 暴力破解, 权限提升, 检测逻辑, 渗透测试框架, 溯源, 系统安全, 网络映射, 计划任务, 进程创建, 防御, 防御加固