Windows 安全日志分析

 

安全日志分析（Windows篇）

 一、Windows安全日志简介

定义与位置

    Windows安全日志是Windows操作系统用于记录与安全相关事件的一种日志文件。它存储在系统的“%SystemRoot%\System32\Winevt\Logs\Security.evtx”路径下。这些日志包含了诸如用户登录/注销、对象访问、特权使用、策略更改等众多安全相关事件的记录。

    例如，每次用户通过本地账户或域账户登录到计算机时，系统都会在安全日志中记录一条登录事件，包括登录时间、登录账户、登录方式（交互式、网络等）等详细信息。

事件类型分类

    账户登录事件（4624 4625）：4624事件表示账户成功登录，其中包含重要信息，如登录的账户名、登录的IP地址（如果是远程登录）、登录类型（如交互式登录、网络登录等）。4625事件则代表账户登录失败，通过分析登录失败的原因（如密码错误、账户不存在等）可以帮助检测潜在的暴力破解攻击。

    对象访问事件（4663）：记录了对文件、文件夹、注册表项等对象的访问尝试。这对于检测未经授权的文件访问或数据泄露非常有用。例如，如果一个用户频繁尝试访问其权限之外的敏感文件，这些事件会被记录下来。

    特权使用事件（4672 4673）：4672事件表示用户被赋予了特权，4673事件记录特权使用的情况。当有高权限操作发生时，如管理员账户执行某些特殊权限的任务，这些事件能够帮助监控特权是否被滥用。

    策略更改事件（4719 4735）：涵盖了如用户权限策略、审核策略等各种安全策略的修改。如果安全策略被非法更改，这些日志记录可以作为追溯的依据。

 二、安全日志分析工具

Windows事件查看器

    这是Windows操作系统自带的基本工具。通过“开始”菜单 “管理工具” “事件查看器”可以打开。在事件查看器中，可以导航到“Windows日志” “安全”来查看安全日志。它提供了简单的筛选和排序功能，例如，可以按照日期和时间、事件级别（如信息、警告、错误）、事件ID等进行排序和筛选。

    但是，对于大规模的日志分析，其功能相对有限。例如，在处理包含数千条记录的日志时，手动通过事件查看器查找特定的安全事件可能会非常耗时。

PowerShell

    PowerShell是一个强大的命令行工具。可以使用命令如“Get EventLog LogName Security”来获取安全日志的内容。通过结合各种筛选条件，可以进行更精准的分析。

    例如，要获取特定日期范围内的登录失败事件，可以使用以下PowerShell脚本：

    ```powershell

    $startDate = [DateTime]'2024-01-01'

    $endDate = [DateTime]'2024-02-01'

    Get EventLog LogName Security |

    Where Object {

        ($_.TimeGenerated ge $startDate) and ($_.TimeGenerated le $endDate) and

        ($_.EventID eq 4625)

    }

    ```

    此脚本获取了2024年1月1日至2024年2月1日之间的登录失败事件。

第三方工具 Splunk

    Splunk是一款专业的日志分析软件。它可以收集、索引和分析Windows安全日志以及其他各种数据源的日志。其优点在于可以通过创建自定义的仪表板和告警来实时监控安全事件。

    例如，可以在Splunk中创建一个仪表板，用于显示每日登录失败次数的趋势。当登录失败次数超过设定的阈值时，它可以发送告警通知管理员，以便及时发现潜在的安全威胁，如暴力破解攻击。

 三、分析方法

基于事件ID的分析

    如前面提到的事件ID分类，首先关注关键的事件ID是一种有效的分析方法。例如，在调查可能的入侵事件时，重点查看4624（成功登录）和4625（登录失败）事件。通过分析登录成功事件中的异常登录时间（如非工作时间登录）、异常登录IP（从未知或可疑的IP地址登录），以及登录失败事件中的频繁失败尝试，可以初步判断是否存在安全风险。

    对于特权使用事件，如4672和4673，定期审查这些事件可以确保特权没有被滥用。如果发现一个普通用户账户频繁触发4672事件（被赋予特权），这可能是一个异常情况，需要进一步调查。

关联分析

    安全事件往往不是孤立的。例如，一个账户登录失败后，紧接着出现对象访问失败事件（可能是因为攻击者尝试使用错误的账户访问资源），这种关联可能暗示着一次攻击尝试。通过将不同类型的事件关联起来，可以更全面地理解安全态势。

    可以使用时间戳作为关联的线索。例如，设定一个时间窗口（如5分钟），查看在这个时间窗口内发生的所有安全事件。如果在登录失败事件后的短时间内出现了其他异常事件，如系统服务异常停止或文件访问异常，那么这些事件可能是相关的，需要一起分析。

行为分析

    基于用户或系统的正常行为模式来分析安全日志。通过建立用户行为基线，例如，某个用户通常在工作日的上午9点到下午5点之间登录，并且主要访问特定的业务应用程序文件。如果发现该用户在凌晨2点登录并访问了系统配置文件，这明显偏离了正常行为，可能是安全问题的迹象。

    还可以分析系统行为。例如，正常情况下，某个系统服务每天只会启动一次。如果安全日志显示该服务在一天内频繁启动和停止，这可能是系统被入侵后恶意软件操作的结果。

 四、实际案例分析

暴力破解攻击案例

    假设在安全日志分析中发现大量的4625（登录失败）事件，这些事件的源IP地址相同，并且在短时间内（如1小时内）发生了数百次登录尝试。这很可能是一次暴力破解攻击。

    应对措施可以包括暂时封锁该IP地址，同时加强账户安全策略，如要求更复杂的密码、启用账户锁定策略等。

内部人员数据窃取案例

    发现一个普通用户账户触发了一系列4663（对象访问）事件，访问了多个包含敏感数据的文件，而这些文件并不在该用户的正常工作范围内。通过关联分析，还发现该账户在非工作时间登录，并使用了特权提升工具（通过4672和4673事件发现特权异常赋予和使用）。这可能是内部人员试图窃取数据的行为。

    此时可以采取的措施包括立即暂停该账户的权限，进行内部调查，同时审查数据访问控制策略，加强对敏感数据的保护。