Windows Event Viewer (Просмотр событий) — это ключевой инструмент для любого системного администратора и специалиста по безопасности. Он является цифровым судмедэкспертом операционной системы, записывая каждое значимое действие. Правильный анализ журналов позволяет выявить системные сбои, а главное — обнаружить следы взлома (интрузии), попытки несанкционированного доступа и ошибки входа, которые могут сигнализировать о брутфорс-атаках. В этой статье мы рассмотрим, какие именно журналы и идентификаторы событий (Event ID) необходимо отслеживать для обеспечения безопасности.
Введение в Event Viewer и ключевые журналы
Event Logs (Журналы событий) — это централизованное хранилище информации о работе системы, приложений и безопасности. Для поиска следов интрузии нам наиболее важен журнал «Безопасность».
— Запуск Event Viewer: Нажмите Win + R и введите команду eventvwr.msc.
— Расположение: В дереве консоли перейдите к разделу Журналы Windows.
Ключевые журналы для аудита безопасности
1. Безопасность (Security): Содержит критически важные события, связанные с аутентификацией, доступом к объектам, изменениями в правах пользователей и политиках аудита. Это основной журнал для поиска следов взлома.
2. Система (System): Содержит события, связанные с драйверами, службами Windows, изменениями системного времени и запуском/остановкой ОС. Полезен для обнаружения изменений конфигурации.
3. Приложения (Application): События, регистрируемые программами. Может содержать записи от антивирусного ПО о детектировании вредоносов.
Важно: Для записи многих событий безопасности (особенно успешного доступа к объектам и процессам) необходимо предварительно настроить политику аудита в gpedit.msc (или GPO для домена).
Анализ событий входа/выхода (Logon/Logoff)
Анализ аутентификации — это первый шаг к обнаружению попыток подбора пароля (брутфорс) или использования скомпрометированных учетных данных. Все эти события находятся в журнале «Безопасность».
Ключевые Event ID для входа/выхода
— 4624: Успешный вход в учетную запись (An account was successfully logged on).
— Поиск следов взлома: Отслеживайте успешные входы в нерабочее время, входы с необычных IP-адресов или успешный вход после серии неудачных попыток (брутфорс).
— Полезные поля:
— Тип входа (Logon Type): Определяет, как пользователь вошел (например, 2 — интерактивный, 3 — сетевой, 10 — удаленный рабочий стол (RDP)).
— Исходная сетевая служба (Source Network Address): IP-адрес, с которого происходил вход.
— 4625: Неудачный вход в учетную запись (An account failed to log on).
— Поиск следов взлома: Многократное повторение Event ID 4625 с одним и тем же именем учетной записи (Target User Name) или с одного и того же Исходного сетевого адреса (Source Network Address) является прямым признаком атаки брутфорс или DoS-атаки на аутентификацию.
— Полезные поля:
— Имя учетной записи (Account Name): Учетная запись, которую пытались использовать.
— Причина сбоя (Failure Reason): Код ошибки (например, неверный пароль).
— 4648: Попытка входа с явными учетными данными (A logon was attempted using explicit credentials).
— Значение: Происходит, когда пользователь уже вошел в систему, но запускает программу, используя другие явные учетные данные (например, команда `runas` или использование «Запуск от имени другого пользователя»). Это может быть признаком того, что злоумышленник пытается повысить привилегии.
— 4740: Учетная запись пользователя заблокирована (A user account was locked out).
— Поиск следов взлома: Это следствие множественных Event ID 4625. Неожиданная блокировка учетной записи (особенно администраторской) указывает на то, что кто-то активно подбирает пароль.
Обнаружение изменения конфигурации и повышения привилегий
Успешный взлом редко ограничивается только входом в систему. Злоумышленники стремятся создать «черный ход», изменить настройки безопасности и повысить свои права.
Ключевые Event ID для аудита изменений
— 4672: Новым учетным данным назначены особые привилегии (Special privileges assigned to new logon).
— Значение: Генерируется при каждом успешном входе пользователя, имеющего административные права (например, член группы «Администраторы»). Это помогает отслеживать, когда и где административные учетные записи были использованы.
— 4697: Служба установлена в системе (A service was installed in the system).
— Поиск следов взлома: Создание новых служб — распространенный метод закрепления (persistence) вредоносного ПО. Вредоносная программа может установить себя как легитимную службу для автоматического запуска при старте системы.
— 4719: Изменена политика аудита системы (System audit policy was changed).
— Критичность: Злоумышленники часто пытаются отключить аудит, чтобы скрыть свои действия. Event ID 4719 — это критический сигнал тревоги. Несанкционированное изменение политики аудита требует немедленного расследования.
— 1102: Журнал аудита очищен (The audit log was cleared).
— Критичность: Самый серьезный признак того, что злоумышленник пытался скрыть свои следы. Это событие регистрируется, даже если злоумышленник очистил журнал, и оно не может быть стерто самим действием очистки.
— 4688: Запущен новый процесс (A new process has been created).
— Значение: Если включен аудит создания процессов, этот ID регистрирует запуск каждого исполняемого файла, включая сведения о родительском процессе (процессе, который его запустил). Это необходимо для обнаружения вредоносных процессов, запущенных из необычных мест (например, `C:\Users\…\AppData`) или замаскированных под системные.
Методика анализа логов: Фильтрация и кастомные представления
Просматривать тысячи записей вручную неэффективно. Используйте встроенные функции Event Viewer.
Шаг 1: Активация аудита (Для доменов AD)
Перед началом аудита убедитесь, что в GPO (или в локальной политике безопасности) включены необходимые параметры аудита для Успешного и Неудачного входа, а также для Создания процессов.
Шаг 2: Фильтрация журнала безопасности (Скриншот 1: Фильтрация журнала безопасности по Event ID 4625)
— Откройте журнал «Безопасность».
— В правой панели выберите «Фильтровать текущий журнал» (Filter Current Log).
— В поле «Коды событий» (Event IDs) введите ключевые номера через запятую, например: 4624, 4625, 4697, 1102, 4688.
— Укажите временной диапазон (например, «Последние 24 часа»).
Шаг 3: Создание пользовательских представлений
Для постоянного мониторинга наиболее эффективным является создание «Настраиваемого представления» (Custom View).
— В правой панели Event Viewer выберите «Создать настраиваемое представление» (Create Custom View).
— Укажите те же Event ID, которые важны для безопасности (4625, 4672, 1102 и т.д.).
— Сохраните представление, назвав его, например, «Security_Intrusion_Watch». Это представление будет автоматически собирать критические события из всех журналов, экономя ваше время.
Анализ логов Event Viewer — это фундаментальный навык в кибербезопасности. Умение находить Event ID 4625 (неудачный вход) с аномальной частотой или критические Event ID 1102 (очистка журнала) и 4719 (изменение политики) позволяет найти следы взлома и быстро реагировать на угрозы. Регулярная проверка журнала «Безопасность» и использование пользовательских представлений являются лучшей защитой от скрытых попыток кражи учетных данных.
