MakarovKyrylo/windows-security-log-analysis

# Windows Security Log 分析 调查 Windows 安全事件日志以进行威胁检测 # Windows 安全日志分析 本项目演示了如何调查 Windows 安全事件日志以识别可疑活动。 ## 分析的事件 ID 4624 — 登录成功 4625 — 登录失败 4688 — 进程创建 ## 调查 我分析了 Windows 安全日志，以检测暴力破解登录尝试和可疑的进程执行。 调查的指标： - 多次登录失败尝试 - 异常的登录时间 - 异常的进程链 可疑链示例： winword.exe → cmd.exe → powershell.exe ## 使用的工具 - Windows Event Viewer - auditpol - netstat - PowerShell ## 目标 练习安全运营中心 (SOC) 中使用的威胁检测技术。

标签：AI合规, AMSI绕过, Conpot, IPv6, OpenCanary, PoC, PowerShell, Windows Server, Windows安全, 事件ID 4624, 事件ID 4625, 事件ID 4688, 事件日志, 威胁检测, 安全运营中心, 恶意活动识别, 数字取证, 暴力破解, 红队行动, 网络安全, 网络映射, 自动化脚本, 进程创建, 隐私保护