Windows Event Log Analysis
Что такое Windows Event Log Analysis?
Windows Event Log AnalysisThe DFIR practice of parsing, correlating, and interpreting Windows Event Log (EVTX) records — Security, System, Application, and PowerShell logs — to reconstruct user activity, authentication events, and adversary techniques.
Windows Event Log analysis is one of the foundational DFIR skills on Windows endpoints and Active Directory servers. The Windows Event Log subsystem stores records in the binary EVTX format under `%SystemRoot%\System32\winevt\Logs\`, with each provider writing into channels such as `Security`, `System`, `Application`, `Microsoft-Windows-PowerShell/Operational`, `Microsoft-Windows-Sysmon/Operational`, and dozens more. High-value event IDs include 4624 (logon), 4625 (failed logon), 4672 (special privileges assigned), 4688 (process creation), 4698 (scheduled task created), 4720 (account created), 4768/4769 (Kerberos TGT/TGS), 4776 (NTLM auth), 7045 (service install), 1102 (audit log cleared), and Sysmon 1/3/7/8/10/11/22. Practical analysis tools include Event Viewer, `wevtutil`, EZ Tools' EvtxECmd (Eric Zimmerman), Chainsaw, Hayabusa, Velociraptor, plus SIEM ingestion (Splunk, Elastic, Sentinel). Hardening prerequisites — increasing log size, enabling Process Creation auditing with command-line, deploying Sysmon, and enabling PowerShell Script Block Logging (4104) — are essential because Windows ships with most useful audits off by default.
● Примеры
- 01
An IR analyst pulls 4624 Type 3 events with workstation names matching the suspect host to reconstruct lateral movement from a compromised endpoint.
- 02
Hayabusa runs Sigma rules against a folder of EVTX exports and surfaces 4688 events showing `whoami /all` and `nltest /dclist` enumeration shortly before privilege escalation.
● Частые вопросы
Что такое Windows Event Log Analysis?
The DFIR practice of parsing, correlating, and interpreting Windows Event Log (EVTX) records — Security, System, Application, and PowerShell logs — to reconstruct user activity, authentication events, and adversary techniques. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Windows Event Log Analysis?
The DFIR practice of parsing, correlating, and interpreting Windows Event Log (EVTX) records — Security, System, Application, and PowerShell logs — to reconstruct user activity, authentication events, and adversary techniques.
Как работает Windows Event Log Analysis?
Windows Event Log analysis is one of the foundational DFIR skills on Windows endpoints and Active Directory servers. The Windows Event Log subsystem stores records in the binary EVTX format under `%SystemRoot%\System32\winevt\Logs\`, with each provider writing into channels such as `Security`, `System`, `Application`, `Microsoft-Windows-PowerShell/Operational`, `Microsoft-Windows-Sysmon/Operational`, and dozens more. High-value event IDs include 4624 (logon), 4625 (failed logon), 4672 (special privileges assigned), 4688 (process creation), 4698 (scheduled task created), 4720 (account created), 4768/4769 (Kerberos TGT/TGS), 4776 (NTLM auth), 7045 (service install), 1102 (audit log cleared), and Sysmon 1/3/7/8/10/11/22. Practical analysis tools include Event Viewer, `wevtutil`, EZ Tools' EvtxECmd (Eric Zimmerman), Chainsaw, Hayabusa, Velociraptor, plus SIEM ingestion (Splunk, Elastic, Sentinel). Hardening prerequisites — increasing log size, enabling Process Creation auditing with command-line, deploying Sysmon, and enabling PowerShell Script Block Logging (4104) — are essential because Windows ships with most useful audits off by default.
Как защититься от Windows Event Log Analysis?
Защита от Windows Event Log Analysis обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Windows Event Log Analysis?
Распространённые альтернативные названия: EVTX analysis, Security log analysis.
● Связанные термины
- defense-ops№ 1242
Sysmon
Служба Windows из набора Microsoft Sysinternals, дополняющая журнал событий подробной телеметрией о процессах, сети, файлах, реестре и загрузке образов для мониторинга безопасности.
- forensics-ir№ 698
Анализ журналов
Систематический разбор системных, прикладных и защитных журналов для обнаружения, расследования и восстановления событий, значимых для безопасности.
- forensics-ir№ 1276
Анализ временной шкалы
Криминалистический метод, восстанавливающий хронологическую последовательность событий в системе путём сопоставления меток времени файлов, журналов и других артефактов.
- defense-ops№ 1153
Правило Sigma
Вендоронезависимая YAML-сигнатура детектирования для логовых событий, которую можно конвертировать в запросы SIEM, EDR или XDR.
- forensics-ir№ 430
EZ Tools Эрика Циммермана
Бесплатный набор инструментов DFIR для Windows (CLI и GUI) от Эрика Циммермана для разбора распространённых криминалистических артефактов и построения таймлайнов.
- defense-ops№ 1151
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
● См. также
- № 1021RegRipper