plokareddy/Windows-Event-Log-Analysis
GitHub: plokareddy/Windows-Event-Log-Analysis
一个 Windows 安全事件日志分析实验项目,通过模拟可疑账号活动演示如何调查认证、进程创建和权限变更等安全事件并进行 MITRE ATT&CK 映射。
Stars: 0 | Forks: 0
# Windows 事件日志分析
## 1. 项目概述
在本项目中,我分析了 Windows 安全事件日志,以了解本地用户账号的生命周期。使用运行在 UTM 上的 Windows 11 中的事件查看器、PowerShell 和命令提示符,我调查了账号创建、失败和成功的登录、进程创建、特殊权限分配、注销事件以及账号删除。调查结果被整理成事件时间线,并映射到相关的 MITRE ATT&CK 技术。
## 2. 实验环境
- 操作系统:Windows 11
- 虚拟化工具:UTM
- 使用的工具:PowerShell、事件查看器和命令提示符
## 3. 调查场景
在 Windows 系统上创建了一个名为 attacker 的本地账号,以模拟可疑的账号活动。使用 PowerShell、命令提示符和事件查看器,我通过 Windows 安全事件日志调查了该账号从创建到删除的整个过程。本项目的目的是了解在事件调查期间如何分析认证事件、权限分配、进程创建和用户会话。
## 4. 调查方法
- 使用 net user 命令创建了一个名为 'attacker' 的本地用户账号。
- 为新创建的账号分配了密码。
- 注销并故意连续五次输入错误密码,生成了多次登录失败事件。
- 使用正确的凭据成功通过了身份验证。
- 使用 auditpol (/set 和 /get)命令启用进程创建审核。
- 通过 PowerShell 生成并分析了进程创建事件。
- 调查了 Windows 安全事件 ID 4720、4625、4624、4688、4672、4634 和 4726。
- 关联事件时间戳以重建整个调查过程中的活动顺序。
- 注销,删除了 attacker 账号,并将账号生命周期的每个阶段记录为证据。
- 将调查结果映射到相关的 MITRE ATT&CK 技术。
## 5. 关键发现
- 事件 ID 4720 确认已创建 attacker 账号。
- 事件 ID 4625 显示该账号有多次失败的登录尝试。
- 事件 ID 4624 记录了使用正确凭据成功登录。
- 事件 ID 4672 显示了分配给该登录会话的权限。
- 事件 ID 4688 捕获了进程创建事件及父/子进程关系。
- 事件 ID 4634 记录了用户注销活动。
- 事件 ID 4726 确认 attacker 账号已被删除。
## 6. 事件时间线
以下时间线是通过关联 Windows 安全事件日志中的时间戳创建的,旨在了解从创建 'attacker' 账号到将其删除的事件发生顺序。
| 时间 | 事件 ID | 活动 |
|--------|---------|------------------------------------------------|
|4.19 PM | 4720 |创建 Attacker 账号 |
|4.20 PM | 4625 |生成了多次失败的登录尝试 |
|4.21 PM | 4624 |成功登录 'attacker' 账号 |
|4.21 PM | 4672 |为登录会话分配了特殊权限 |
|5.12 PM | 4688 |捕获进程创建事件 |
|5.46 PM | 4634 |记录用户注销活动 |
|5.52 PM | 4726 | 删除 'attacker' 账号 |
## 7. MITRE ATT&CK 映射
将分析的事件映射到相关的 MITRE ATT&CK 技术,旨在将 Windows 安全日志与常见的攻击者行为联系起来,并提高对检测和调查流程的理解。
| 事件 ID | 活动 | MITRE 技术 |
|-----------|---------------------------------|-------------------------------------------|
| 4720 | 用户账号创建 | T1136 - 创建账号 |
| 4625 | 多次失败的登录尝试 | T1110 - 暴力破解 |
| 4624 | 成功登录 | T1078 - 有效账号 |
| 4688 | 捕获进程创建事件 | T1059 – 命令和脚本解释器 |
| 4726 | 账号删除 | T1531 – 账号访问移除 |
## 8. 展示的技能
- Windows 事件查看器分析
- PowerShell 和命令提示符的使用
- 安全事件关联
- 事件时间线重建
- Windows 身份验证分析
- 基础 MITRE ATT&CK 映射
- 事件调查与文档记录
## 9. 经验教训
- 这个项目帮助我理解了不同 Windows 安全事件 ID 的实际含义,而不仅仅是死记硬背。
- 我学习了如何通过将多个事件串联起来追踪用户活动。
- 我对使用事件查看器调查身份验证和账号管理事件变得更加自信。
- 创建事件时间线让我认识到在调查过程中时间戳的重要性。
- 我还初步了解了如何使用 MITRE ATT&CK 将系统活动与现实世界的攻击技术联系起来。
标签:AI合规, 安全运营, 库, 应急响应, 扫描框架, 数字取证, 自动化脚本