当前位置:网站首页 > 更多 > 玩电脑 > 正文

[玩转系统] 检测事件日志中的安全威胁

作者:精品下载站 日期:2024-12-14 06:01:53 浏览:14 分类:玩电脑

检测事件日志中的安全威胁


当 Windows Server 出现问题时,我们首先查看的是事件日志。我们想知道问题开始时发生了什么、正在运行哪些应用程序以及可能导致问题的原因等等。我们是解决这些问题的大师。

现在,获取相同的事件日志,并尝试从安全角度对它们进行排序,我们大多数人最终看起来就像一只试图求解二次方程的猴子。但有很多事情在发生,你需要了解其中的许多事情。在某些情况下,您可能不想知道明天的情况。您现在需要了解它们。

例如,我们需要监视一个非常特殊的员工子集,那就是我们的系统管理员。在大多数情况下,系统管理员将拥有两个帐户。我们每天都会使用“让我们登录并检查电子邮件”密码来处理日常事务。然后是特权帐户,通常具有内置的各种权力和权限(例如成为域管理员)。这些都是我们可能需要关注的。我们可能想知道它们会触发哪些事件,因此我们将采取一些措施,然后向您展示如何设置事件来监视它们。

有几个事件值得关注:

事件 4663 - 当您删除大量文件时会生成此事件。很可能它是无辜的。也可能有人正在泄露重要信息,并想让您和/或公司的日子不好过。

事件 4724 - 密码重置。再说一遍,可能足够无辜。但这取决于重置密码的帐户。对于心烦意乱的系统管理员来说,重置服务帐户密码是在基础设施中传播破坏的好方法。

事件 4704 和 4717 - 用户权限分配的更改。通常我们希望看到这与票证请求相关。然而,如果有人正在策划一些不正当的事情,他们很有可能不会按照协议去做。此类事件通常会告诉您分配给用户或帐户的权限,但它可能不会告诉您是谁干的。这是一个值得注意的问题,因为内部的黑客可能会尝试提升服务帐户或普通用户帐户的权限,从而使他们能够访问系统并帮助他们掩盖其踪迹。

事件 4719 和 4739 - 如果您看到这些,请开始考虑有人更改了系统中的审核和帐户策略。通常是内部黑客攻击的良好前奏。

事件 1102 - 这通常是一个值得关注的重大事件,并且可能是一个真正重要的确凿证据。这意味着有人刚刚清除了安全日志。同样,这可能是无辜的,但也可能意味着有人试图掩盖自己的踪迹。这是一个很好的绊线,很容易意味着网络攻击即将到来,或者已经结束。

那么,除了事后梳理事件日志(无论如何你都会想做)之外,你如何找到这些事件呢?好吧,不少公司都制作了一些很棒的系统日志监视器,它会监视您告诉它监视的事件,甚至会在发生某些事件时实时通知您。

Windows 2008(及更高版本)自带内置的某些事件警报方法。要利用此功能,只需打开 Windows 并转到任务计划程序。在其中创建一个基本任务。

[玩转系统] 检测事件日志中的安全威胁

为您的任务命名并简短描述其应该执行的操作:

[玩转系统] 检测事件日志中的安全威胁

您想知道某个事件何时被记录:

[玩转系统] 检测事件日志中的安全威胁

然后您会想知道要查看哪些日志。 不要忘记输入您正在观看的活动的 ID:

[玩转系统] 检测事件日志中的安全威胁

您可能希望它至少向您发送一封电子邮件:

[玩转系统] 检测事件日志中的安全威胁

请记住进行设置以使消息正确:

[玩转系统] 检测事件日志中的安全威胁

单击“下一步”即可完成。

您需要 登录账户 后才能发表评论

取消回复欢迎 发表评论:

关灯