taadithiya/windows-security-log-analysis
GitHub: taadithiya/windows-security-log-analysis
基于 PowerShell 的 Windows 安全事件日志分析项目,用于导出并审查认证、特权登录、凭据访问及审计日志清除等安全活动。
Stars: 0 | Forks: 0
# Windows 安全日志分析
## 概述
本项目演示了如何使用 PowerShell 导出 Windows 安全事件日志,并进行分析以识别身份验证活动、特权登录、凭据管理器访问和审计日志清除事件。
本次分析涵盖了过去七天内收集的 8,412 个安全事件。
## 目标
- 使用 PowerShell 导出 Windows 安全事件日志
- 分析最频繁的安全事件 ID
- 审查成功和失败的登录活动
- 按登录类型对成功登录进行分类
- 调查特权登录事件
- 按账户类别分析凭据管理器活动
- 检查安全审计日志清除情况
- 记录发现、限制和隐私考虑
## 使用的工具
- Windows 11
- PowerShell
- Windows 安全事件日志
- CSV
- Markdown
- GitHub
## 数据集摘要
| 指标 | 结果 |
|---|---:|
| 分析的事件总数 | 8,412 |
| 成功登录 — 事件 ID 4624 | 444 |
| 失败登录 — 事件 ID 4625 | 0 |
| 特权登录 — 事件 ID 4672 | 427 |
| 凭据管理器读取 — 事件 ID 5379 | 7,053 |
| 已清除的安全日志 — 事件 ID 1102 | 0 |
## 主要发现
- 事件 ID 5379 是最频繁的事件,出现了 7,053 次。
- 大多数凭据管理器活动与主要本地用户账户相关。
- 大多数成功登录是 Type 5 服务登录。
- 大多数特权登录与 SYSTEM 账户相关。
- 在审查的数据集中没有捕获到失败的登录。
- 未识别到 Remote Desktop 登录。
- 未识别到安全审计日志清除事件。
## 成功登录类型
| 登录类型 | 计数 | 描述 |
|---|---:|---|
| 5 | 407 | 服务登录 |
| 11 | 14 | 缓存交互式登录 |
| 7 | 14 | 工作站解锁 |
| 2 | 9 | 交互式本地登录 |
## 仓库结构
```
Windows-Log-Analysis
├── Local-Logs
│ └── Security.csv # Local only — excluded by .gitignore
├── Reports
│ └── Initial-Findings.md
├── Screenshots
│ ├── 01-Windows-Security-Log-Summary-Redacted.png
│ ├── 02-Successful-Logon-Type-Analysis.png
│ ├── 03-Credential-Manager-Account-Summary-Redacted.png
│ └── 04-Privileged-Logon-Account-Summary-Redacted.png
├── Scripts
│ └── Export-SecurityLogs.ps1
├── .gitignore
└── README.md
```
标签:AI合规, IPv6, Libemu, PowerShell, 事件日志, 子域名变形, 防御加固