策略名称:Audit Process Creation 查看ID为4688的安全事件: 命令行获取: wevtutil qe security /rd:true /f:text /q:"Event[System[(EventID=4688)]]" 清除方法:可以参考三好学生师傅这篇文章 Program Inventory Event Log Program Inventorywin7及以上存在,主要用于记录软件活动摘要、安装的程序、安装的Internet Ex...
我们通过LogParser做一个简单的筛选,得到Event ID 4688,也就是创建新进程的列表,可以发现用户Bypass,先后调用cmd执行whami和systeminfo。Conhost.exe进程主要是为命令行程序(cmd.exe)提供图形子系统等功能支持。 LogParser.exe -i:EVT "SELECTTimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|')asUserName,EXTRACT_T...
1、Event ID – 4688:已创建新进程 Event4688记录了程序作为其运行时所执行的每个程序以及启动该进程的进程。默认情况下,进程跟踪的审计策略在窗口中是禁用的;我们必须从Windows本地安全策略中启用它,以充分利用这个过程跟踪审计,同时检测跨网络的横向移动。(https://docs.microsoft.com/en-us/windows-server/identity...
4688 创建新进程 4689 进程终止 1. 2. 我们通过LogParser做一个简单的筛选,得到Event ID 4688,也就是创建新进程的列表,可以发现用户Bypass,先后调用cmd执行whami和systeminfo。Conhost.exe进程主要是为命令行程序(cmd.exe)提供图形子系统等功能支持。 Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\11...
Windows Security Log Events Windows 10 and Windows Server 2016 security auditing and monitoring ...
功能:Windows Event Viewer 是 Windows 操作系统自带的日志管理工具,用于查看和分析系统、安全和应用程序事件日志。 特点:支持多种日志类型,包括系统日志、安全日志、应用程序日志等。 优势:易于使用,可直接在本地系统上查看和分析日志数据。 2. ELK Stack(Elasticsearch, Logstash, Kibana): ...
For 4688(S): A new process has been created. If you have a pre-defined "NewProcess Name" or"Creator Process Name" for the process reported in this event, monitor all events with "NewProcess Name" or"Creator Process Name" not equal to your defined value. ...
For 4688(S): A new process has been created. If you have a pre-defined "NewProcess Name" or"Creator Process Name" for the process reported in this event, monitor all events with "NewProcess Name" or"Creator Process Name" not equal to your defined value. ...
[WindowsEventLog:file:WEV:4688&&已创建新进程] AttackdateP""9""11<MMMDD>+P""12""13<CCYY> AttackTimeP""2""3<HH:MM:SS> AttacktypeC"4688已创建新进程"+K"进程信息:"""令牌提升类型:" SourceNameKP"帐户名:"""1 severityC"2" [WindowsEventLog:file:WEV:4689&&已退出进程] AttackdateP"...
ID消息4688已创建一个新进程。4696主令牌被分配给处理。 子类别: 进程终止 ID消息4689进程已退出。 子类别:RPC 事件 ID 消息5712试图远程过程调用 (RPC)。 类别:DS 访问 子类别:详细的目录服务复制 ID消息4928已建立的ActiveDirectory副本源命名上下文。4929已删除的ActiveDirectory副本源命名上下文。4930修改ActiveDire...