Chào mọi người, nay ngồi rảnh gõ mấy dòng lưu lại sau cần tìm cho nhanh, hoàn toàn có thể những thông tin còn thiếu sót nhưng những thông tin này mình đã từng thao tác với nó .Bạn đang xem : Windows event log là gì
Đang xem: Windows event log là gì
Loạt bài này mình sẽ viết một chút ít bài về Điều tra vi phạm ANTT, gặp cái nào viết cái đó và sẽ đi từ từ. Bài này có tìm hiểu thêm ( dịch thuật ) có tổng hợp kinh nghiệm tay nghề + chỗ khác về “ Windows Event Log Analysis ” tạm dịch là “ Kỹ thuật nghiên cứu và phân tích Event Log trên Windows ”, bản gốc tại đây : https://www.appliedincidentresponse.com/windows-event-log-analyst-reference/
Hướng Dẫn Sử Dụng Event Viewer Trên Windows Event Log Là Gì, Điều Tra Windows Server Bị Tấn Công 10Hình 04 – Các Event ID tương quan đăng nhập, đăng xuất thông tin tài khoản
2.3) Event về truy cập share folder/object: mặc định log này không được lưu, để bật log này bạn truy cập vào “Group Policy Management” để chỉnh sửa (vào RUN gõ gpedit.msc để mở Group Policy), đường dẫn cấu hình: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Object Access -> Audit File Share.
Các Event ID cho Object Sharing có ID từ 5140 đến 5145.
2.4) Event về Scheduled Task: các event liên quan đến lập lịch.
Hình 05 – Các Event ID tương quan Scheduled Task trên Windows
2.5) Event về quản lý chính sách (policy audit): sinh ra khi các thay đổi policy trên máy tính.
Event ID liên quan về policy có ID là 1102 và 4719.
2.6) Event về các dịch vụ trên windows (windows service): sinh ra khi liên quan các dịch vụ chạy trên windows, mặc định không được enabled, muốn cấu hình bạn vào GPO cập nhật theo đường dẫn sau “Windows Settings > Security Settings > Advanced Audit Policy Configuration > System Audit Policies > System > Audit Security System Extension”.
Nếu OS là Windows 10 và Server 2016/2019 thì Event ID là 4697 ở mục Security Event Log.
Hình 06 – Các Event ID liên quan dịch vụ chạy trên Windows (Windows Services)
2.7) Event về LAN, Wireless: sinh ra khi liên quan đến các kết nối mạng.
Xem thêm : Chế Độ Trò Chơi Trong Windows 10 Creators Là Gì, Những Tính Năng Mới Của Windows 10 Creators Là GìHình 07 – Các Event ID tương quan liên kết mạng LAN, Wireless trên Windows
2.8) Event về tiến trình (process audit): liên quan các tiến trình trên windows. Mặc định log này không được bât, để cấu hình bạn vào chỉnh trong Group Policy theo dường dẫn sau “Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy -> Audit process tracking”.
Hình 08 – Các Event ID tương quan quản trị tiến trình trên Windows
2.9) Event về Windows Filtering Platform (WFP): thường gặp khi có ứng dụng chạy trên máy bị block/accept như firewall.
Cái này quan trọng khi tìm hiểu xem tiến trình nào đang liên kết ra C2 nào .Hình 09 – Các Event ID tương quan liên kết trên máy tính Windows
2.9) Event về thực thi chương trình (execute program): một số event thường gặp khi điều tra về các tiến trình lạ được thực thi liên quan đến các action của Windows Defender.
Hình 10 – Các Event ID tương quan action của Windows Defender
2.10) Event về PowerShell: lưu lại các event khi powershell được gọi ra và thực hiện câu lệnh. Log này mặc định không được enabled, để enabled log ta vào Group Policy cấu hình đường dẫn sau “Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell”.
Event ID của powershell được filter qua 02 ID là 4103 và 4104.
Còn liên tục update …Trên đây mình tổng hợp một số ít thông tin về Event Log, để cụ thể minh hoạ hơn về những trường hợp hay gặp để giải quyết và xử lý, truy vết sự cố, mình sẽ update ứng với những bài viết trong loạt bài “ Điều tra vi phạm ANTT ” .Mình dịch thuật và update thông tin hoàn toàn có thể không đúng chuẩn hay khác với OS / phiên bản, những bạn góp ý giúp ở phần comment nhé .
