taadithiya/windows-security-log-analysis

GitHub: taadithiya/windows-security-log-analysis

基于 PowerShell 的 Windows 安全事件日志分析项目,用于导出并审查认证、特权登录、凭据访问及审计日志清除等安全活动。

Stars: 0 | Forks: 0

# Windows 安全日志分析 ## 概述 本项目演示了如何使用 PowerShell 导出 Windows 安全事件日志,并进行分析以识别身份验证活动、特权登录、凭据管理器访问和审计日志清除事件。 本次分析涵盖了过去七天内收集的 8,412 个安全事件。 ## 目标 - 使用 PowerShell 导出 Windows 安全事件日志 - 分析最频繁的安全事件 ID - 审查成功和失败的登录活动 - 按登录类型对成功登录进行分类 - 调查特权登录事件 - 按账户类别分析凭据管理器活动 - 检查安全审计日志清除情况 - 记录发现、限制和隐私考虑 ## 使用的工具 - Windows 11 - PowerShell - Windows 安全事件日志 - CSV - Markdown - GitHub ## 数据集摘要 | 指标 | 结果 | |---|---:| | 分析的事件总数 | 8,412 | | 成功登录 — 事件 ID 4624 | 444 | | 失败登录 — 事件 ID 4625 | 0 | | 特权登录 — 事件 ID 4672 | 427 | | 凭据管理器读取 — 事件 ID 5379 | 7,053 | | 已清除的安全日志 — 事件 ID 1102 | 0 | ## 主要发现 - 事件 ID 5379 是最频繁的事件,出现了 7,053 次。 - 大多数凭据管理器活动与主要本地用户账户相关。 - 大多数成功登录是 Type 5 服务登录。 - 大多数特权登录与 SYSTEM 账户相关。 - 在审查的数据集中没有捕获到失败的登录。 - 未识别到 Remote Desktop 登录。 - 未识别到安全审计日志清除事件。 ## 成功登录类型 | 登录类型 | 计数 | 描述 | |---|---:|---| | 5 | 407 | 服务登录 | | 11 | 14 | 缓存交互式登录 | | 7 | 14 | 工作站解锁 | | 2 | 9 | 交互式本地登录 | ## 仓库结构 ``` Windows-Log-Analysis ├── Local-Logs │ └── Security.csv # Local only — excluded by .gitignore ├── Reports │ └── Initial-Findings.md ├── Screenshots │ ├── 01-Windows-Security-Log-Summary-Redacted.png │ ├── 02-Successful-Logon-Type-Analysis.png │ ├── 03-Credential-Manager-Account-Summary-Redacted.png │ └── 04-Privileged-Logon-Account-Summary-Redacted.png ├── Scripts │ └── Export-SecurityLogs.ps1 ├── .gitignore └── README.md ```
标签:AI合规, IPv6, Libemu, PowerShell, 事件日志, 子域名变形, 防御加固