arathism/Task4

# 事件响应模拟报告 ### 任务 4 – Windows 事件日志分析 **作者：** Arathi Shekhar Munavalli **实习单位：** Alfido Tech **日期：** 2026年4月5日 ## 概述 作为本任务的一部分，使用 Windows 11 主机上的内置 Windows 事件查看器分析了 Windows 安全事件日志。目标是识别可疑的登录模式、检测权限提升、调查组成员枚举活动，并记录适当的事件响应操作。 - **日志来源：** Windows 事件查看器 → Windows 日志 → 安全 - **日志中的事件总数：** 28,127 - **分析的事件：** 事件 ID 4624、4672、4798 - **分析时段：** 2026-04-05，14:53 – 16:18 - **工具：** Windows 事件查看器（内置） ## 使用的工具 - **Windows 事件查看器** – 用于筛选、查看和分析安全事件日志 - **Windows 11** – 执行日志分析的操作系统 ## 采用的方法 任务分四个阶段完成： 1. **访问日志** 打开 Windows 事件查看器，导航到 Windows 日志 → 安全，其中包含总共 28,127 个事件。 2. **事件筛选** 分别针对事件 ID 4624、4672 和 4798 应用筛选器，以隔离相关活动。 3. **模式分析** 记录事件数量、时间戳、突发集群和频率模式，以检测异常。 4. **IOC 文档** 识别妥协指标，记录发现内容，并准备本报告。\n\n## 应用的筛选器及结果 | 事件 ID | 事件名称 | 数量 | 类别 | 描述 | |----------|------------|-------|----------|-------------| | `4624` | 成功登录 | 587 (2.1%) | 登录 | 账户成功登录系统 | | `4672` | 分配特殊权限 | 558 (2.0%) | 特殊登录 | 为新登录会话分配敏感权限 | | `4798` | 组成员已枚举 | 3,085 (10.9%) | 用户账户管理 | 进程枚举了用户的本地组成员身份 | ## 主要发现 ### 事件 ID 4624 — 账户成功登录（587 个事件） - 多个登录事件以 **1-2 秒的间隔** 记录（例如，15:55:32、15:55:33、15:55:35） - 快速连续发生对于正常的交互式用户会话来说是不典型的 - 强烈表明 **脚本化或自动化登录活动** ### 事件 ID 4672 — 分配特殊权限（558 个事件） - 敏感权限（SeDebugPrivilege、SeTcbPrivilege、SeBackupPrivilege）在几乎每次登录时都被分配 - 558 个事件与 4624 登录时间戳紧密吻合 - 表明 **每次会话都存在持久的管理员或 SYSTEM 级访问** ### 事件 ID 4798 — 用户组成员已枚举（3,085 个事件） - 3,085 的数量比组合登录事件（1,145）**高出 2.7 倍** - 在 **16:10:32、16:11:44、16:14:32、16:16:32** 观察到突发集群 — 每秒多个事件 - 模式与 **自动化侦察或批量组成员枚举脚本** 高度一致 ## 检测到的异常 - 快速连续登录（15:55:32、:33、:35 的 1 秒间隔）— 事件 ID 4624、4672 - 过度组成员枚举（3,085 vs 587 次登录 — 5:1 比例异常）— 事件 ID 4798 - 突发集群模式（16:10、16:11、16:14、16:16 每秒多事件）— 事件 ID 4798 - 持续权限分配（558 个特殊权限事件与登录量匹配）— 事件 ID 4672 ## 风险评估 - **高风险：** 过度组成员枚举、突发集群模式 - **中等风险：** 快速连续登录、持续权限分配 - **低风险：** 未检测到 - **信息：** 正常的 SYSTEM 登录会话 ## 妥协指标 (IOC) - 数量异常 — 3,085 × 事件 ID 4798 — 过度组成员枚举，比登录数量高 5 倍 - 时间模式 — 16:10–16:16 的突发集群 — 短时间内每秒多个事件重复发生 - 权限异常 — 558 × 事件 ID 4672 — 每次登录时分配特殊权限（持久管理员访问） - 行为模式 — 4624 事件快速连续发生，间隔 1 秒 — 表明脚本化/自动化登录 ## 建议 - 使用 **Process Monitor** 将 4798 突发事件与运行中的进程进行关联，以识别源应用程序 - 检查 **计划任务和启动脚本** 中的自动化登录序列 - 审查所有持有 **SeDebugPrivilege / SeTcbPrivilege** 的账户 — 限制为最小必要范围 - 启用 **事件 ID 4688**（进程创建）审计策略，以追踪触发 4798 激增的进程 - 部署 **Sysmon** 配合社区规则集，以实现更深入的端点进程和网络可见性 - 如果确认存在恶意活动 — **立即隔离端点** 并保留 `.evtx` 日志作为取证证据 - 配置 **SIEM 告警规则**，针对每分钟超过 100 次的批量 4798 事件 ## 本仓库中的文件 | 文件 | 描述 | |------|-------------| | `Task4_Incident_Response_Report.pdf` | 包含事件查看器截图的完整事件响应报告 | | `Event_4624_Logon.png` | 事件 ID 4624 筛选视图 — 587 个成功登录事件 | | `Event_4672_Privileges.png` | 事件 ID 4672 筛选视图 — 558 个特殊登录事件 | | `Event_4798_Enumeration.png` | 事件 ID 4798 筛选视图 — 3,085 个组成员枚举事件 | ## 结论 2026年4月5日进行的 Windows 安全事件日志分析在三个事件类别中发现了显著异常。虽然事件 ID 4624 和 4672 的数量在活跃工作站的合理范围内，但事件 ID 4798 在紧凑突发集群中出现的 3,085 次是自动化组成员枚举的强烈指标 — 这是一种常与横向移动或凭据窃取攻击中的侦察阶段相关的技术。未通过日志分析单独发现已确认入侵的直接证据。然而，观察到的模式足以支持更深入的取证调查，包括进程级分析和网络日志关联。定期的事件日志分析是实际环境中事件响应和早期威胁检测的重要技能。\n\n## 免责声明 所有日志分析仅在分析师自己的 Windows 11 机器上作为学习目的进行，作为 Alfido Tech 网络安全实习计划的一部分。

标签：AMSI绕过, Event Viewer, Incident Response, IOC文档, Web报告查看器, Windows 11, Windows Security Event Logs, Windows事件日志, 威胁检测, 安全运营, 异常检测, 扫描框架, 数字取证, 权限提升检测, 登录分析, 组枚举, 自动化脚本