JFrancisSOC/Project-5-Windows-Event-Viewer-Log-Analysis

GitHub: JFrancisSOC/Project-5-Windows-Event-Viewer-Log-Analysis

一个教授使用 Windows 事件查看器分析安全日志并调查身份验证事件的 SOC 分析师入门实践项目。

Stars: 0 | Forks: 0

# 项目 5 – Windows 事件查看器与日志分析 ## 目标 * 通过使用事件查看器查看、搜索、筛选和解读 Windows 安全日志,培养安全运营中心 (SOC) 分析师所使用的实用 Windows 日志分析技能。 ## 环境 * Windows 11 * Windows 事件查看器 ## 练习技能 * 打开 Windows 事件查看器 * 浏览 Windows 安全日志 * 查看 Windows 身份验证事件 * 按 Event ID 筛选安全日志 * 识别成功的登录事件 * 识别失败的登录事件 * 识别注销事件 * 解读 Windows Event ID * 执行基础的 Windows 日志分析 ## 使用的命令 | 命令 | 目的 | | -------------- | ------------------------- | | `eventvwr.msc` | 打开 Windows 事件查看器 | ## 实验活动 * 打开了 Windows 事件查看器。 * 导航到 Windows 安全日志。 * 使用 Event ID 4624 查看了成功的登录事件。 * 使用 Event ID 4625 筛选了安全日志以查找失败的登录事件。 * 使用 Event ID 4634 查看了注销事件。 * 识别了身份验证详细信息,包括账户名称、登录类型和登录 ID。 * 对比了身份验证事件以了解用户活动。 * 完成了一项涉及 Windows 身份验证事件的模拟 SOC 调查。 ## 截图 * P5 01 打开 Windows 事件查看器 * P5 02 查看 Windows 安全日志 * P5 03 筛选 Windows 安全日志 * P5 04 调查成功的登录事件 * P5 05 调查 Windows 注销事件 ## 经验教训 * 我了解了 Windows 如何在安全日志中记录身份验证活动。 * 我练习了使用 Event ID 4624、4625 和 4634 识别成功的登录、失败的登录和注销事件。 * 我学习了如何筛选 Windows 安全日志以定位特定的身份验证事件。 * 我认识到在确定是否发生可疑活动之前,应始终在适当的背景下审查身份验证事件。 ## SOC 分析师要点 * Windows 安全日志是身份验证调查期间的主要证据来源之一。 * 查看 Event ID 4624、4625 和 4634 有助于分析师了解用户身份验证活动并识别潜在的安全问题。 * 在确定是否需要升级之前,应将身份验证事件作为时间线的一部分进行关联和分析。