professorshubhx/Manual-log_analysis-

# 手动日志分析 本项目重点介绍日志过滤、事件关联和手动威胁分析等基本技能，无需依赖高级 SIEM 工具。它为理解 Windows 环境中的安全监控和事件检测奠定了基础，帮助学习者为更高级的网络安全工具和技术做好准备。 # Windows 安全日志日志分析基础 ## 目标 本实验的目标是介绍 Windows 安全日志，并演示如何分析与身份验证相关的事件。这包括识别失败的登录尝试、成功的登录以及可能表明可疑行为的凭据访问活动。 ## 实验环境搭建 ### 要求 * 系统：Windows 10 / Windows 11 * 内存：至少 4 GB * 工具：Windows 事件查看器 * 权限：管理员权限 * 测试账户：testuser ## 什么是 Windows 安全日志？ Windows 安全日志记录系统上所有与安全相关的事件。这些日志对于监控和检测可疑活动至关重要。 关键事件包括： * 成功和失败的登录尝试：跟踪用户身份验证 * 账户锁定：在多次尝试失败后触发 * 用户账户更改：创建或修改账户 * 权限分配：管理访问事件 这些日志对于识别暴力破解攻击、未经授权的访问以及登录后活动至关重要。 ## 理解安全日志中的事件 ID 本实验中使用的一些常见事件 ID 包括： * 事件 ID 4625：登录失败 * 事件 ID 4624：登录成功 * 事件 ID 5379：凭据访问 这些事件有助于识别身份验证模式和可疑行为。 ## 实验任务：探索和分析 Windows 安全日志 ### 步骤 1：打开事件查看器 * 按下 Win + R * 输入：eventvwr * 导航至：Windows 日志 → 安全 ### 步骤 2：筛选安全日志 * 点击“筛选当前日志” * 输入事件 ID： 4625, 4624, 5379 ### 步骤 3：模拟失败的登录尝试 使用错误的凭证多次尝试。 示例命令： net use \127.0.0.1\IPC$ /user:testuser test321 重复此操作多次以生成失败的登录日志。 ### -在此图像中，我们使用 PowerShell 命令 net use \127.0.0.1\IPC$ /user:testuser test321 尝试访问本地主机 testuser ### 步骤 4：模拟成功登录 使用正确的凭证： net use \127.0.0.1\IPC$ /user:testuser correctpass ### -多次不成功尝试后的成功登录 ### 步骤 5：分析日志 在事件查看器中观察生成的日志。 #### 登录失败（事件 ID：4625） * 账户名称：testuser * 登录类型：3（网络） * 失败原因：密码错误 * 状态代码：0xC000006D * 子状态：0xC000006A 观察： 短时间内多次失败尝试可能表明存在暴力破解行为。 #### 登录成功（事件 ID：4624） * 账户名称：testuser * 域：SHUBH * 登录类型：3（网络） * 身份验证包：NTLM 观察： 在多次失败尝试后成功登录。 #### 凭据访问（事件 ID：5379） * 账户名称：admin * 操作：访问凭据管理器凭据 观察： 这表示访问了存储的凭据，可能需要进一步调查。 ## 攻击时间线 | 时间 | 事件 ID | 描述 | | -------- | -------- | ------------------------------ | | 03:58 PM | 4625 | 多次登录失败尝试 | | 06:06 PM | 4624 | 登录成功 | | 06:08 PM | 5379 | 凭据访问 | ## 分析 日志显示重复的失败登录尝试后跟随着成功登录。这种模式通常与暴力破解攻击相关。凭据访问事件表明可能存在身份验证后的活动。 ## 结论 系统经历了多次失败的认证尝试，随后成功登录。这表明可能存在导致成功访问的暴力破解攻击。 ## 建议 * 启用账户锁定策略 * 定期监控失败的登录尝试 * 实施多因素身份验证 * 审查凭据访问日志以查找可疑活动 ## 实验成果 本实验展示了手动分析 Windows 安全日志、识别可疑身份验证模式以及执行基本 SOC 级调查的能力。

标签：AI合规, Windows 10, Windows 11, Windows安全日志, 事件ID 4624, 事件ID 4625, 事件ID 5379, 事件关联, 事件查看器, 事件检测, 凭证访问, 基础安全, 失败登录, 安全学习, 成功登录, 手动威胁分析, 手工分析, 无SIEM分析, 日志过滤, 认证事件