ilyess-sellami/Windows-EventID-Book

# 📘 Windows EventID 手册

## 概述 **Windows EventID Book** 是一个经过筛选和结构化的 Windows Event ID 参考手册，旨在支持： - Threat Hunting (威胁狩猎) - DFIR (数字取证与事件响应) - SOC 分析与监控 该项目可帮助安全专业人员在真实场景中快速识别、理解和调查关键的 Windows 事件。 ## 事件日志类别 1. [SECURITY (Security.evtx)](#1-security-securityevtx) 2. [SYSMON (Sysmon Operational Log)](#2-sysmon-sysmon-operational-log) 3. [SYSTEM (System.evtx)](#3-system-systemevtx) 4. [APPLICATION (Application.evtx)](#4-application-applicationevtx) 5. [FIREWALL (Windows Defender 防火墙日志)](#5-firewall-windows-defender-firewall-logs) 6. [POWERSHELL](#6-powershell) 7. [KERBEROS / AUTHENTICATION (AD DS 日志)](#7-kerberos--authentication-ad-ds-logs) 8. [FILE SHARE / SMB ACTIVITY](#8-file-share--smb-activity) 9. [TASK SCHEDULER](#9-task-scheduler) 10. [WINDOWS DEFENDER / ANTIVIRUS](#10-windows-defender--antivirus) ## SECURITY (Security.evtx) | 事件 ID | 名称 | 描述 | 威胁狩猎价值 | | -------- | --------------------------------- | ---------------------------------------------- | ------------------------------------------------------------ | | 4624 | Successful Logon | 用户成功登录系统 | 检测横向移动、异常登录、暴力破解成功 | | 4625 | Failed Logon | 登录尝试失败 | 暴力破解、密码喷洒、撞库 | | 4634 | Logoff | 用户会话结束 | 会话跟踪，异常会话持续时间 | | 4648 | Logon with Explicit Credentials | 进程使用不同的凭据登录 | 哈希传递、横向移动检测 | | 4672 | Special Privileges Assigned | 登录时授予管理员级别权限 | 权限提升检测 | | 4688 | Process Creation | 创建了新进程 | 恶意软件执行、LOLBins 检测 | | 4689 | Process Exit | 进程终止 | 执行流跟踪 | | 4697 | Service Installed | 安装了新服务 | 通过服务实现持久化 | | 4719 | Audit Policy Changed | 审核策略被修改 | 防御规避（禁用日志） | | 4720 | User Account Created | 创建了新用户账户 | 未经授权的账户创建 | | 4722 | User Account Enabled | 已禁用的账户被启用 | 账户接管，内部威胁 | | 4723 | Password Change Attempt | 用户尝试更改密码 | 凭据滥用检测 | | 4724 | Password Reset Attempt | 执行了密码重置 | 权限滥用或账户接管 | | 4725 | User Account Disabled | 账户被禁用 | 攻击清理或内部活动 | | 4726 | User Account Deleted | 账户从系统中移除 | 持久化移除或破坏 | | 4732 | Added to Local Group | 用户被添加到特权组 | 权限提升 | | 4738 | User Account Modified | 账户属性被更改 | 持久化或权限操纵 | | 4740 | Account Locked Out | 账户因多次失败尝试被锁定 | 暴力破解检测 | | 4768 | Kerberos TGT Requested | 请求了 Ticket Granting Ticket | 身份验证分析，横向移动 | | 4769 | Kerberos Service Ticket Requested | 请求了服务票据 | 横向移动，访问跟踪 | | 4776 | NTLM Authentication | NTLM 身份验证尝试 | 传统认证滥用，哈希传递 | | 1102 | Audit Log Cleared | 安全日志被清除 | 日志篡改 / 防御规避 | ## SYSMON (Sysmon Operational Log) | 事件 ID | 名称 | 描述 | 威胁狩猎价值 | | -------- | ---------------------------- | ------------------------------------ | ------------------------------------------------------- | | 1 | Process Creation | 创建了新进程 | 检测恶意软件执行，LOLBins，命令行攻击 | | 2 | File Creation Time Changed | 文件时间戳被修改 | Timestomping（规避技术） | | 3 | Network Connection | 进程发起了网络连接 | C2 流量，数据渗出，可疑 IP | | 4 | Sysmon Service State Change | Sysmon 服务启动/停止 | 检测规避（尝试禁用传感器） | | 5 | Process Terminated | 进程结束 | 跟踪执行生命周期 | | 6 | Driver Loaded | 内核驱动已加载 | Rootkit，恶意驱动 | | 7 | Image Loaded (DLL) | DLL 加载到进程中 | DLL 注入，侧载攻击 | | 8 | CreateRemoteThread | 在另一个进程中创建了线程 | 进程注入（典型恶意软件行为） | | 9 | Raw Access Read | 直接磁盘读取访问 | 凭据转储，LSASS 访问 | | 10 | Process Access | 一个进程访问了另一个进程 | 凭据窃取，LSASS 注入 | | 11 | File Created | 系统上创建了文件 | 恶意软件释放器活动 | | 12 | Registry Key Created/Deleted | 注册表结构被修改 | 持久化机制 | | 13 | Registry Value Set | 注册表值被修改 | 启动持久化，恶意软件配置 | | 14 | Registry Key/Value Renamed | 注册表对象被重命名 | 规避和持久化隐藏 | | 15 | File Stream Created | 创建了 Alternate Data Stream (ADS) | 隐藏在 NTFS ADS 中的有效载荷 | | 17 | Pipe Created | 创建了命名管道 | C2 通信，横向移动 | | 18 | Pipe Connected | 命名管道被访问 | 进程间或横向通信 | | 19 | WMI Event Filter | 创建了 WMI 持久化 | 高级持久化技术 | | 20 | WMI Consumer | 创建了 WMI 事件使用者 | 通过 WMI 实现执行持久化 | | 21 | WMI Binding | WMI 过滤器-使用者绑定 | 完整的 WMI 持久化链 | | 22 | DNS Query | 进程发起了 DNS 请求 | 基于域名的 C2 检测，DGA 恶意软件 | ## SYSTEM (System.evtx) | 事件 ID | 名称 | 描述 | 威胁狩猎价值 | | -------- | -------------------------- | ------------------------------------------ | ---------------------------------------------------------- | | 7045 | Service Installed | 安装了新服务 | 强烈的持久化指标（恶意软件/服务） | | 7040 | Service Start Type Changed | 服务启动类型被修改 | 持久化（自动启动服务） | | 7036 | Service State Changed | 服务启动或停止 | 跟踪可疑服务执行 | | 7034 | Service Crashed | 服务意外终止 | 由漏洞利用或恶意干扰导致的崩溃 | | 7022 | Service Failed to Start | 服务启动失败 | 失败的持久化或被阻止的恶意软件 | | 7000 | Service Failed to Start | 服务无法启动 | 可疑或配置错误的服务 | | 6008 | Unexpected Shutdown | 系统意外关闭 | 强制关机（可能的攻击者活动） | | 1074 | System Shutdown Initiated | 关机/重启由进程/用户触发 | 识别谁发起了关机（在应急响应调查中很关键） | | 41 | Kernel Power Critical | 系统在未正常关机的情况下重启 | 崩溃，漏洞利用，或强制重启 | | 1102 | Audit Log Cleared (Mirror) | 安全日志被清除（系统反映） | 防御规避 / 日志篡改 | ## APPLICATION (Application.evtx) | 事件 ID | 名称 | 描述 | 威胁狩猎价值 | | -------- | ------------------------ | ---------------------------------- | --------------------------------------------------------- | | 1000 | Application Error | 应用程序崩溃 | 安全工具崩溃，漏洞利用尝试，恶意软件问题 | | 1001 | Windows Error Reporting | 生成了崩溃报告 | 关联可疑崩溃（例如 LSASS，AV） | | 1026 | .NET Runtime Exception | .NET 应用程序错误 | 恶意 .NET 有效载荷，攻击工具 | | 11707 | Application Installed | 应用程序成功安装 | 未经授权的软件安装 | | 11724 | Application Uninstalled | 应用程序被移除 | 防御规避（移除工具） | | 1033 | MSI Installation Success | MSI 包已安装 | 软件部署跟踪 / 持久化 | | 1034 | MSI Installation Failed | MSI 安装失败 | 失败的恶意安装尝试 | | 1002 | Application Hang | 应用程序停止响应 | 漏洞利用尝试 / 进程不稳定 | | 1309 | ASP.NET Event | Web 应用程序错误 | Web 漏洞利用尝试（在服务器上） | | 18456 | SQL Server Login Failed | 登录 SQL Server 失败 | 对数据库的暴力破解 / 凭据攻击 | | 33205 | SQL Server Audit Event | SQL Server 审核日志 | 可疑的数据库访问 / 查询 | ## 5. FIREWALL (Windows Defender 防火墙日志) | 事件 ID | 名称 | 描述 | 威胁狩猎价值 | | -------- | ------------------------------- | ------------------------------------- | --------------------------------------------------------- | | 2004 | Firewall Rule Added | 创建了新的防火墙规则 | 防御规避 / 持久化（允许恶意流量） | | 2005 | Firewall Rule Modified | 现有防火墙规则被更改 | 篡改规则以绕过限制 | | 2006 | Firewall Rule Deleted | 防火墙规则被移除 | 防御规避（移除保护） | | 2033 | Firewall Rule Applied | 防火墙规则被强制执行 | 跟踪可疑或新添加的规则 | | 5152 | Packet Blocked | 网络数据包被防火墙阻止 | 检测扫描，暴力破解，恶意流量 | | 5154 | Firewall Allowed Listening Port | 应用程序打开了监听端口 | 后门 / 未经授权的服务 | | 5156 | Connection Allowed | 连接被防火墙允许 | C2 流量，横向移动 | | 5157 | Connection Blocked | 连接被防火墙阻止 | 可疑的出站连接尝试 | | 5158 | Local Port Binding | 进程绑定到本地端口 | 服务创建，反向 Shell | ## POWERSHELL | 事件 ID | 名称 | 描述 | 威胁狩猎价值 | | -------- | -------------------- | ------------------------------------ | ------------------------------------------------------ | | 400 | Engine Start | PowerShell 引擎启动 | 跟踪 PowerShell 使用情况（谁/何时） | | 403 | Engine Stop | PowerShell 引擎停止 | 会话跟踪 | | 600 | Provider Lifecycle | PowerShell Provider 启动 | 执行的上下文 | | 800 | Pipeline Execution | PowerShell 管道已执行 | 命令执行跟踪 | | 4103 | Module Logging | PowerShell 模块活动被记录 | 跟踪使用的 cmdlet (Get-Process, Invoke-Command 等) | | 4104 | Script Block Logging | PowerShell 脚本内容被记录 | 检测编码/恶意脚本（极高风险） | | 4105 | Script Started | PowerShell 脚本执行开始 | 跟踪脚本执行时间轴 | | 4106 | Script Completed | PowerShell 本执行完成 | 执行生命周期 | ## 7. KERBEROS / AUTHENTICATION (AD DS 日志) | 事件 ID | 名称 | 描述 | 威胁狩猎价值 | | -------- | ---------------------------------- | --------------------------------- | ------------------------------------------------ | | 4768 | Kerberos TGT Requested | 请求了 Ticket Granting Ticket | 跟踪初始身份验证（谁在登录） | | 4769 | Kerberos Service Ticket Requested | 请求了服务票据 | 横向移动 / 服务访问跟踪 | | 4770 | Kerberos Ticket Renewed | TGT 已续订 | 长期会话 / 持久化 | | 4771 | Kerberos Pre-Authentication Failed | Kerberos 身份验证失败 | 密码喷洒 / 暴力破解检测 | | 4776 | NTLM Authentication | NTLM 身份验证尝试 | 传统认证滥用 / 哈希传递 | | 4624 | Successful Logon (Correlated) | 身份验证成功 | 验证 Kerberos 活动后的登录成功 | | 4625 | Failed Logon (Correlated) | 身份验证失败 | 确认失败的尝试 | | 4648 | Explicit Credentials Logon | 使用备用凭据登录 | 哈希传递 / 横向移动 | | 4672 | Privileged Logon | 已分配管理员权限 | 特权会话跟踪 | ## FILE SHARE / SMB 活动 | 事件 ID | 名称 | 描述 | 威胁狩猎价值 | | -------- | ------------------------- | ------------------------------- | -------------------------------------------------------- | | 5140 | Network Share Access | 访问了网络共享 | 跟踪谁访问了哪个共享 | | 5142 | Share Created | 创建了新的网络共享 | 可疑的共享创建（数据暂存 / 持久化） | | 5143 | Share Modified | 共享配置被更改 | 篡改 / 未经授权的暴露 | | 5144 | Share Deleted | 网络共享被移除 | 攻击者活动后的清理 | | 5145 | Detailed Share Access | 共享上的文件级访问 | 识别被访问的文件（敏感数据跟踪） | | 4624 | Successful Logon (Type 3) | 网络登录 (SMB) | 确认 SMB 身份验证 | | 4625 | Failed Logon | 身份验证失败 | 针对 SMB 的暴力破解尝试 | | 4776 | NTLM Authentication | NTLM 身份验证尝试 | 哈希传递 / 传统 SMB 滥用 | ## TASK SCHEDULER | 事件 ID | 名称 | 描述 | 威胁狩猎价值 | | -------- | ------------------------ | ----------------------------------- | -------------------------------------- | | 106 | Task Registered | 创建了新的计划任务 | 通过计划任务实现持久化 | | 140 | Task Updated | 现有任务被修改 | 攻击者修改合法任务 | | 141 | Task Deleted | 计划任务被移除 | 防御规避 / 清理 | | 200 | Task Action Started | 任务执行开始 | 跟踪有效载荷的执行 | | 201 | Task Action Completed | 任务执行完成 | 执行生命周期跟踪 | | 203 | Task Created (Legacy) | 任务已创建（旧版日志格式） | 在旧系统上的持久化检测 | | 300 | Action Failed | 任务操作失败 | 失败或被阻止的恶意执行 | | 310 | Task Registration Failed | 任务无法创建 | 失败的持久化尝试 | ## WINDOWS DEFENDER / ANTIVIRUS | 事件 ID | 名称 | 描述 | 威胁狩猎价值 | | -------- | ------------------------------ | ------------------------------------------------ | ----------------------------------------------- | | 1006 | Malware Detection | Windows Defender 检测到恶意软件 | 主要的恶意软件检测信号 | | 1007 | Malware Action Taken | Defender 对检测到的恶意软件采取了操作 | 确认的修复 (隔离/删除/阻止) | | 1008 | Malware Remediation Failed | 移除恶意软件失败 | 活跃的威胁 / 持久化风险 | | 1116 | Malware Detected | 实时保护检测到威胁 | 早期感染检测 | | 1117 | Action Taken on Threat | 威胁已被阻止或移除 | 验证 Defender 的响应 | | 1118 | Threat Quarantined | 文件被隔离 | 确认隔离 | | 1119 | Threat Restored | 用户或进程从隔离区恢复了恶意软件 | 可能的攻击者干扰 | | 5001 | Real-Time Protection Disabled | Defender 实时保护已关闭 | 防御规避（关键指标） | | 5004 | Defender Configuration Changed | 安全设置被修改 | 试图削弱防御 | | 5007 | Defender Settings Changed | 核心保护设置被更改 | 持久化 / 防御规避 | | 5010 | Antivirus Scan Started | 启动了扫描 | 调查的上下文 | | 5011 | Antivirus Scan Completed | 扫描完成 | 事件发生后的验证 | | 5013 | Definition Update Failed | 病毒定义更新失败 | 检测能力下降（攻击窗口） |

标签：AD域安全, Conpot, EventID, IPv6, PE 加载器, PFX证书, PoC, PowerShell, RDP, SMB, Sysmon, Threat Hunting, Windows Defender, Windows安全, Windows日志, 事件ID, 备忘录, 安全分析师, 安全基线, 安全运营中心, 库, 应急响应, 攻击检测, 教学环境, 数字取证, 暴力破解, 模拟器, 横向移动, 系统运维, 编程规范, 网络安全, 网络映射, 自动化脚本, 蓝军, 错误配置检测, 防御加固, 防火墙日志, 隐私保护