samirawit/incident-response-log-analysis-lab

# Windows 登录失败分析 (Event ID 4625) 本项目侧重于使用 Windows Event Viewer 分析登录失败尝试。目的是更好地理解认证失败在系统日志中的表现形式，并识别任何可疑的模式。 ## 目标 审查 Windows Security 日志以识别登录失败尝试，并确定该活动是否表明存在潜在的安全风险。 ## 所用工具 - Windows Event Viewer ## 所做工作 - 通过输入错误密码生成多次登录失败尝试 - 导航至 Event Viewer 中的 Security 日志 - 使用 Event ID 4625 过滤日志 - 审查了账户名称、登录类型、失败原因和时间戳等详细信息 ## 关键发现 - 短时间内发生了多次登录失败尝试 - 所有尝试都针对同一个用户账户 - 使用了登录类型 2（交互式登录） - 所有失败均由密码输入错误导致 ## 分析 短时间内重复的登录尝试表明这不仅仅是一次性的失误。虽然这可能是用户操作失误，但该模式也可能表明存在潜在的暴力破解或未授权访问尝试。 ## 框架映射 此活动与以下 NIST 800-53 控制措施一致： - AC-7 (账户锁定) - AU-2 (审计事件) - AU-6 (审计审查和分析) - SI-4 (系统监控) - IR-4 (事件处理)

标签：Awesome, Conpot, NIST 800-53, Windows Event Viewer, Windows安全, 事件ID 4625, 事件日志分析, 免杀技术, 安全运营, 扫描框架, 数字取证, 日志审查, 暴力破解检测, 混合加密, 登录失败, 系统管理, 红队行动, 自动化脚本, 蓝队防御, 账户锁定, 身份验证失败