Friendlyfoldman/windows-log-investigation

# Windows 日志调查 使用 SOC 方法论对 Windows 安全事件日志进行分析，调查失败的登录活动并评估整体系统行为。 ## 目标 调查与身份验证相关的事件，以确定是否发生可疑活动或潜在的系统 compromise。 ## 分析的日志 - 事件 ID 4625 – 登录失败 - 事件 ID 4624 – 登录成功 - 事件 ID 4688 – 进程创建 - 事件 ID 4672 – 特殊权限分配 ## 结果 识别出一组失败的登录尝试，并对多种事件类型进行了关联分析，以评估风险并确定缺乏 compromise 指标。 ## 展示的技能 - Windows 事件日志分析 - 模式识别与异常检测 - 基本的入侵调查方法论 - SOC 风格的报告与文档记录

标签：4624, 4625, 4672, 4688, AI合规, AMSI绕过, Failed Logon, RFI远程文件包含, Security Event Log, SOC 方法论, Windows 安全, 事件日志, 入侵调查, 关联分析, 失败登录, 威胁检测, 安全运营, 异常检测, 扫描框架, 无妥协指标, 日志取证, 模式识别, 系统行为, 聚类分析, 逆向工具, 风险判定