plokareddy/Windows-Event-Log-Analysis

GitHub: plokareddy/Windows-Event-Log-Analysis

一个 Windows 安全事件日志分析实验项目,通过模拟可疑账号活动演示如何调查认证、进程创建和权限变更等安全事件并进行 MITRE ATT&CK 映射。

Stars: 0 | Forks: 0

# Windows 事件日志分析 ## 1. 项目概述 在本项目中,我分析了 Windows 安全事件日志,以了解本地用户账号的生命周期。使用运行在 UTM 上的 Windows 11 中的事件查看器、PowerShell 和命令提示符,我调查了账号创建、失败和成功的登录、进程创建、特殊权限分配、注销事件以及账号删除。调查结果被整理成事件时间线,并映射到相关的 MITRE ATT&CK 技术。 ## 2. 实验环境 - 操作系统:Windows 11 - 虚拟化工具:UTM - 使用的工具:PowerShell、事件查看器和命令提示符 ## 3. 调查场景 在 Windows 系统上创建了一个名为 attacker 的本地账号,以模拟可疑的账号活动。使用 PowerShell、命令提示符和事件查看器,我通过 Windows 安全事件日志调查了该账号从创建到删除的整个过程。本项目的目的是了解在事件调查期间如何分析认证事件、权限分配、进程创建和用户会话。 ## 4. 调查方法 - 使用 net user 命令创建了一个名为 'attacker' 的本地用户账号。 - 为新创建的账号分配了密码。 - 注销并故意连续五次输入错误密码,生成了多次登录失败事件。 - 使用正确的凭据成功通过了身份验证。 - 使用 auditpol (/set 和 /get)命令启用进程创建审核。 - 通过 PowerShell 生成并分析了进程创建事件。 - 调查了 Windows 安全事件 ID 4720、4625、4624、4688、4672、4634 和 4726。 - 关联事件时间戳以重建整个调查过程中的活动顺序。 - 注销,删除了 attacker 账号,并将账号生命周期的每个阶段记录为证据。 - 将调查结果映射到相关的 MITRE ATT&CK 技术。 ## 5. 关键发现 - 事件 ID 4720 确认已创建 attacker 账号。 - 事件 ID 4625 显示该账号有多次失败的登录尝试。 - 事件 ID 4624 记录了使用正确凭据成功登录。 - 事件 ID 4672 显示了分配给该登录会话的权限。 - 事件 ID 4688 捕获了进程创建事件及父/子进程关系。 - 事件 ID 4634 记录了用户注销活动。 - 事件 ID 4726 确认 attacker 账号已被删除。 ## 6. 事件时间线 以下时间线是通过关联 Windows 安全事件日志中的时间戳创建的,旨在了解从创建 'attacker' 账号到将其删除的事件发生顺序。 | 时间 | 事件 ID | 活动 | |--------|---------|------------------------------------------------| |4.19 PM | 4720 |创建 Attacker 账号 | |4.20 PM | 4625 |生成了多次失败的登录尝试 | |4.21 PM | 4624 |成功登录 'attacker' 账号 | |4.21 PM | 4672 |为登录会话分配了特殊权限 | |5.12 PM | 4688 |捕获进程创建事件 | |5.46 PM | 4634 |记录用户注销活动 | |5.52 PM | 4726 | 删除 'attacker' 账号 | ## 7. MITRE ATT&CK 映射 将分析的事件映射到相关的 MITRE ATT&CK 技术,旨在将 Windows 安全日志与常见的攻击者行为联系起来,并提高对检测和调查流程的理解。 | 事件 ID | 活动 | MITRE 技术 | |-----------|---------------------------------|-------------------------------------------| | 4720 | 用户账号创建 | T1136 - 创建账号 | | 4625 | 多次失败的登录尝试 | T1110 - 暴力破解 | | 4624 | 成功登录 | T1078 - 有效账号 | | 4688 | 捕获进程创建事件 | T1059 – 命令和脚本解释器 | | 4726 | 账号删除 | T1531 – 账号访问移除 | ## 8. 展示的技能 - Windows 事件查看器分析 - PowerShell 和命令提示符的使用 - 安全事件关联 - 事件时间线重建 - Windows 身份验证分析 - 基础 MITRE ATT&CK 映射 - 事件调查与文档记录 ## 9. 经验教训 - 这个项目帮助我理解了不同 Windows 安全事件 ID 的实际含义,而不仅仅是死记硬背。 - 我学习了如何通过将多个事件串联起来追踪用户活动。 - 我对使用事件查看器调查身份验证和账号管理事件变得更加自信。 - 创建事件时间线让我认识到在调查过程中时间戳的重要性。 - 我还初步了解了如何使用 MITRE ATT&CK 将系统活动与现实世界的攻击技术联系起来。
标签:AI合规, 安全运营, 库, 应急响应, 扫描框架, 数字取证, 自动化脚本