Windows主机日志分析办法与思路(2)

查看日志的重点内容如下：

①查看登录日志中暴力破解痕迹；

②查看账号管理日志中账号的新增、修改痕迹；

③查看远程桌面登录日志中的登录痕迹。

案例一：正常事件

攻击者通过暴力破解的方式入侵系统，不论是否成功，在日志中会留下入侵痕迹，所以事件id为4624和4625的事件是首当其冲的关注点。需要留意日志中的SubjectUserNameIpAddress。

如图所示：登录事件总计为11968次，这个次数这么多是因为上面筛选时没有选择具体哪一天哪一个时间段。若是大量的失败登录，绝对可疑，但真实情况是大量成功，且ip为内网信任ip，登录者信息其实也在其中，也是内部人员，登录时间也是正常时间段，找到该人员核对一下，基本可以判断为正常事件。

案例二：入侵事件

发现连续三条日志，由登录失败到成功，WorkstationName均来自名为kali的主机，并且最终记录下kali的IP地址为192.168.74.129。这个过程可以判断攻击者通过192.168.74.129的主机暴力破解成功administrator的密码，此处即为暴破留下的痕迹。

Windows中日志中与账号创建有关的事件ID：4720, 4722, 4724,4738。攻击者攻陷一台Windows主机后，可能会创建后门账号、隐藏账号。

案例一：正常情况

可以看到，最近7天内没有新增的账号事件，比较安全。

案例二：新增aaaa$后门账号

发现攻击者创建了后门账号。据此时间点可确定在这之前使用某手段或利用某漏洞获取了服务器权限，可进一步在其他安全设备上查找该时间点前针对失陷服务器的攻击告警事件确定攻击方式。

上述的安全日志很可能被覆盖掉，为尽量不遗漏入侵痕迹，可进一步查看远程桌面的登录日志。攻击者建立后门账号后会通过远程桌面连接到失陷主机上，此时的登录行为会记录到远程桌面日志。

远程连接日志（应用程序和服务日志->Microsoft->Windows->-TerminalServices->RemoteConnectionManager->Operational），重要事件 ID 和含义：

1149：用户认证成功

21：远程桌面服务：会话登录成功

24：远程桌面服务：会话已断开连接

25：远程桌面服务：会话重新连接成功

因此我们可以看看应用程序日志里事件id为1149：