Snehaaa-sk/incident-response-simulation

# 事件响应模拟：未经授权的登录尝试检测 ## 概述 本项目通过使用Windows事件查看器演示了基本的事件响应（IR）模拟。目标是模拟未经授权的登录尝试，检测可疑的认证活动，调查安全日志，并执行包括检测、分析、隔离、消除和恢复在内的事件响应程序。 本项目是在InternPe的网络安全实习期间完成的**作业 #3**。 ## 目标 * 模拟未经授权的访问尝试。 * 监控Windows安全日志。 * 检测失败的认证事件。 * 调查可疑的登录活动。 * 执行根本原因分析。 * 记录事件响应程序。 ## 环境 ### 操作系统 * Windows 11 ### 使用工具 * Windows事件查看器 * Windows安全日志 * Windows认证系统 ## 事件场景 通过在Windows登录屏幕上故意多次输入错误的凭据，生成了一次受控的安全事件。 ### 执行步骤 1. 打开Windows事件查看器。 2. 导航到Windows日志 → 安全。 3. 使用Windows + L锁定系统。 4. 多次输入错误的凭据。 5. 使用有效的凭据成功登录。 6. 调查生成的安全事件。 ## 检测与分析 ### 事件ID 4625 – 失败的登录尝试 检测到多个事件ID 4625条目，表明失败的认证尝试。 **发现：** * 事件ID：4625 * 类别：登录 * 关键词：审计失败 * 来源：Microsoft Windows安全审计 ## 调查发现 ### 观察 * 检测到多次失败的登录尝试。 * 认证失败在短时间内发生。 * 没有未经授权访问的证据。 * 活动源自本地系统。 ### 时间线 | 时间 | 事件ID | 描述 | | -------- | -------- | -------------------- | | 12:30:14 | 4625 | 失败的登录尝试 | | 12:30:20 | 4625 | 失败的登录尝试 | | 12:30:25 | 4625 | 失败的登录尝试 | | 12:32:22 | 4624 | 成功登录 | ## 隔离 采取的行动： * 审查登录活动。 * 验证账户合法性。 * 监控认证尝试。 * 确认未发生未经授权的访问。 ## 消除 采取的行动： * 验证事件是受控模拟的一部分。 * 确认没有恶意软件活动。 * 确认不存在未经授权的用户账户。 ## 恢复 ### 事件ID 4624 – 成功登录 在输入有效凭据后检测到一次成功的认证事件。 **发现：** * 事件ID：4624 * 类别：登录 * 关键词：审计成功 ## 根本原因分析 ### 根本原因 重复输入错误的密码在Windows安全日志中产生了失败的认证事件。 ### 影响 * 没有系统妥协 * 没有恶意软件执行 * 没有未经授权的访问 * 没有数据丢失 风险等级：低 ## 经验教训 * 安全日志提供了有价值的取证证据。 * 失败的认证尝试可以表明攻击活动。 * 持续监控提高了检测能力。 * 正确的文档加强了事件响应准备。 ## 建议 * 启用多因素认证（MFA） * 强制执行强大的密码策略 * 配置账户锁定策略 * 定期监控认证日志 * 使用SIEM解决方案实现集中日志监控 ## 结论 本项目通过模拟未经授权的登录尝试成功演示了事件响应生命周期。使用Windows事件查看器检测、调查、分析和记录了安全事件，提供了在日志分析、威胁检测和事件响应方面的实践经验。 ## 技能展示 * 事件响应 * 日志分析 * Windows事件查看器 * 安全监控 * 威胁检测 * 根本原因分析 * SOC分析师基础 ## 实习 **组织：** InternPe **作业：** 作业 #3 – 事件响应模拟 **领域：** 网络安全实习 [模拟未经授权的登录尝试 Sneha S InternPe 作业 #3.pdf](https://github.com/user-attachments/files/28502724/Simulated.Unauthorized.Login.Attempt.Sneha.S.InternPe.Assignment.3.pdf)

标签：BurpSuite集成, RFI远程文件包含, Windows 11, Windows 事件查看器, Windows 安全, Windows 安全日志, Windows 认证系统, 安全事件响应, 安全培训, 安全实习, 安全日志分析, 安全测试, 安全漏洞, 库, 应急响应, 攻击性安全, 模拟攻击, 网络安全, 认证失败, 速率限制, 隐私保护