JFrancisSOC/Project-5-Windows-Event-Viewer-Log-Analysis
GitHub: JFrancisSOC/Project-5-Windows-Event-Viewer-Log-Analysis
一个教授使用 Windows 事件查看器分析安全日志并调查身份验证事件的 SOC 分析师入门实践项目。
Stars: 0 | Forks: 0
# 项目 5 – Windows 事件查看器与日志分析
## 目标
* 通过使用事件查看器查看、搜索、筛选和解读 Windows 安全日志,培养安全运营中心 (SOC) 分析师所使用的实用 Windows 日志分析技能。
## 环境
* Windows 11
* Windows 事件查看器
## 练习技能
* 打开 Windows 事件查看器
* 浏览 Windows 安全日志
* 查看 Windows 身份验证事件
* 按 Event ID 筛选安全日志
* 识别成功的登录事件
* 识别失败的登录事件
* 识别注销事件
* 解读 Windows Event ID
* 执行基础的 Windows 日志分析
## 使用的命令
| 命令 | 目的 |
| -------------- | ------------------------- |
| `eventvwr.msc` | 打开 Windows 事件查看器 |
## 实验活动
* 打开了 Windows 事件查看器。
* 导航到 Windows 安全日志。
* 使用 Event ID 4624 查看了成功的登录事件。
* 使用 Event ID 4625 筛选了安全日志以查找失败的登录事件。
* 使用 Event ID 4634 查看了注销事件。
* 识别了身份验证详细信息,包括账户名称、登录类型和登录 ID。
* 对比了身份验证事件以了解用户活动。
* 完成了一项涉及 Windows 身份验证事件的模拟 SOC 调查。
## 截图
* P5 01 打开 Windows 事件查看器
* P5 02 查看 Windows 安全日志
* P5 03 筛选 Windows 安全日志
* P5 04 调查成功的登录事件
* P5 05 调查 Windows 注销事件
## 经验教训
* 我了解了 Windows 如何在安全日志中记录身份验证活动。
* 我练习了使用 Event ID 4624、4625 和 4634 识别成功的登录、失败的登录和注销事件。
* 我学习了如何筛选 Windows 安全日志以定位特定的身份验证事件。
* 我认识到在确定是否发生可疑活动之前,应始终在适当的背景下审查身份验证事件。
## SOC 分析师要点
* Windows 安全日志是身份验证调查期间的主要证据来源之一。
* 查看 Event ID 4624、4625 和 4634 有助于分析师了解用户身份验证活动并识别潜在的安全问题。
* 在确定是否需要升级之前,应将身份验证事件作为时间线的一部分进行关联和分析。