[Aprende un poco de conocimiento nuevo todos los días] Análisis de registro de Windows

1. Descripción general del análisis de registros

Registros: los archivos de registro registran información necesaria y valiosa para las actividades relacionadas con los recursos de TI, como servidores, estaciones de trabajo, firewalls y software de aplicaciones. Los registros en los archivos de registro se pueden utilizar para los siguientes propósitos: monitorear los recursos del sistema, auditar el comportamiento de los usuarios, alertar sobre comportamientos sospechosos, determinar el alcance del comportamiento de intrusión, brindar asistencia para la recuperación del sistema, generar informes de investigación, proporcionar fuentes de evidencia para combatir los delitos informáticos.

Propósito principal: rastrear la fuente del ataque

1. localizar la ip del atacante

2. Descubra el comportamiento de ataque y refuerce los puntos débiles de seguridad en el sistema

3. Fortalecimiento de vulnerabilidades dirigidas

Dos, análisis de registro del sistema de Windows

Registro del sistema System.evtx : registra información sobre hardware, software y problemas del sistema en el sistema. Los usuarios pueden usarlo para verificar la causa de los errores o encontrar rastros que dejan los atacantes cuando son atacados.

La ubicación predeterminada del registro es: C:\Windows\System32\winevt\Logs\System.evtx

Application log Application.evtx : registra la información de registro del programa durante la operación

La ubicación predeterminada del registro es: C:\Windows\System32\winevt\Logs\Application.evtx

Registros de seguridad Security.evtx : registros de inicio de sesión, registros de acceso a objetos, registros de seguimiento de procesos, uso de privilegios, administración de cuentas, cambios de política, eventos del sistema.

La ubicación predeterminada del registro es: C:\Windows\System32\winevt\Logs\Security.evtx

1. Habilitar la función de política de auditoría de registros

ganar+R--->gpedit.msc

De forma predeterminada, el registro de seguridad solo registra algunos registros de inicio de sesión simples; de lo contrario, el espacio ocupado es demasiado grande. Si necesita registrar registros de seguridad detallados, debe modificar la política local para habilitar la función de registro de seguridad de otros elementos.

La versión de inicio de win10 no se puede abrir, puede consultar el siguiente artículo ( tenga en cuenta que al guardar el archivo bat, cambie la codificación a ANSI )

https://zhuanlan.zhihu.com/p/381084692

2. ver registro del sistema

ganar+R--->eventvwr

O simplemente busque "Visor de eventos"

3. Análisis de registro de eventos

·Registro Borrar Registro——ID: 1102

Borre el registro de seguridad (requiere permiso del sistema)
para borrar a través de cmd:
win+R--->wevtutil cl "logname (nombre de registro)"

·Registros de salida y entrada——ID: 5156, 5158

Conexión remota:
win+R --->
el intervalo de eventos de cada par de 5156 y 5158 en mstsc es de 5 s, que es la operación de conexión de sincronización de la carga, el propósito es mantenerse activo y realizar la tarea

·Registro de administración de cuenta——ID: 4720 (puede encontrar el usuario creado y también puede encontrar el usuario oculto), 4726 (puede encontrar el usuario eliminado)

Agregar usuario oculto: ataque de usuario de red$ Aa123456 /add
Eliminar usuario oculto: ataque de usuario de red$ /del
Crear grupo de usuarios: net logalgroup group1 /add
Ver grupo de usuarios: usuario de red

·Registro de administración de grupo de seguridad: ID: 4732 (verifique a qué grupo se ha unido el usuario creado), 4733 (verifique de qué grupo se eliminó al usuario)

·Registro de comportamiento de cuenta——ID: 4624, 4634, 4625

4624: Usuario conectado
4634: Usuario desconectado
4625: Error de inicio de sesión

· Registro de Verificación de Credenciales - DNI: 4776

凭证验证是指，当你要去访问目标主机的FTP、Samba服务时，目标主机会发起验证请求，要求你输入用户名和密码。日志会详细的记录登录者的工作站、登录账户信息。

·计划任务事件——ID：4698、4699、4700、4701、4702

在该事件记录信息中，计划任务schtasks以及at都会被记录在内：包括创建者、任务名称、任务内容等。
4698：计划任务已创建
4700：计划任务已启用
4701：计划任务已停用
4702：计划任务已变更

·进程创建及终止记录——ID：4688、4689

要记录该日志，需要编辑本地审计策略后重启计算机（上面有讲如何开启策略），重启后便可记录每一个被启动的进程日志，包括软件进程。

可以根据事件的ID进行筛选

事件id汇总
https://zhuanlan.zhihu.com/p/366530900

三、日志审计工具

Log Parser

下载地址
https://www.microsoft.com/en-us/download/details.aspx?id=24659

可以分析操作系统的事件日志、注册表、文件系统、Active Directory、IIS。它可以像使用SQL语句一样查询分析这些数据，甚至可以把分析结果以各种图表的形式展现出来。

使用格式

LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”

例如

登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  “SELECT *  FROM C:\Windows\System32\winevt\Logs\Security.evtx where EventID=4624”

sql语句用EXTRACT_TOKEN(<字段>，<所需的内容位置>，<分割的字符>)进行分割

LogParser.exe -i:EVT –o:DATAGRID  
“SELECT TimeGenerated as LoginTime,
EXTRACT_TOKEN(Strings,18,'|') as 源地址,
EXTRACT_TOKEN(Strings,19,'|') as 源端口,
EXTRACT_TOKEN(Strings,5,'|') as Username FROM
C:\Users\Admin\Desktop\log.evtx where EventID=4624”

Event Log Explorer

下载地址： https://event-log-explorer.en.softonic.com/

Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看，监视和分析跟事件记录，包括安全，系统，应用程序和其他微软Windows 的记录被记载的事件，其强大的过滤功能可以快速的过滤出有价值的信息。