«Большинство администраторов знают про ID событий 4624, 4625 и 1102. Но в журналах Windows скрыты события, которые могут указать на атаку, еще до того, как кто-то успеет ввести неправильный пароль. Эти ‘тихие’ сигналы — изменения политик аудита, манипуляции с группами безопасности, аномалии IPsec — часто оказываются за пределами стандартных правил корреляции. Их поиск превращает рутинный мониторинг в проактивную охоту.»
Анализ событий безопасности Windows
Журналы событий Windows, это не просто архив для расследования инцидентов после факта. При правильной настройке аудита они становятся системой раннего предупреждения. Ключ не в сборе всего подряд, а в целенаправленной фильтрации и понимании контекста: какие события в вашей среде — норма, а какие — индикатор компрометации.
От сбора к анализу: практический подход
Просматривать события вручную в оснастке eventvwr.msc (Просмотр событий) непрактично для масштабных сред. Реальная аналитика начинается с централизованного сбора логов в SIEM-систему. Однако перед этим критически важно настроить политику аудита, включив именно те категории событий, которые требуются для выполнения регуляторных требований (например, 152-ФЗ, приказы ФСТЭК) и соответствуют модели угроз организации. По умолчанию Windows аудит многого не регистрирует.
Основные этапы работы:
- Определение базовой линии: Проанализируйте, какие процессы, имена учетных записей, действия являются обычными для ваших систем в рабочее и нерабочее время. Без этого понимания отличить аномалию от шума невозможно.
- Контекст — всё: Одиночное событие часто малоинформативно. Ключевые поля для анализа: пользователь, рабочая станция, ID процесса, родительский процесс, путь к исполняемому файлу, командная строка. Запуск
cmd.exeот имени пользователя — норма, но запускpowershell.exeс флагами кодирования и загрузки скрипта из внешнего источника от имени службы — явный индикатор. - Применение White/Black списков с осторожностью: Списки известных вредоносных хэшей или доверенных приложений полезны для быстрой фильтрации, но не являются панацеей. Злоумышленники легко обфусцируют код или используют легитимные инструменты операционной системы (Living off the Land).
- Корреляция событий: Настоящая картина складывается из цепочки. Неудачная попытка входа (4625) с последующим успешным входом (4624) с того же IP может указывать на подбор пароля. Создание задачи (4698) или службы (4697) вслед за входом — на попытку закрепиться в системе.
- Анализ поведения (UEBA): Современные системы мониторинга позволяют выявлять нестандартные действия: пользователь входит в систему в нерабочее время, обращается к нехарактерным для него сетевым ресурсам, запускает процессы, которые никогда не запускал.
Ключевые события безопасности: что искать
В Windows тысячи идентификаторов событий. Ниже представлена выборка критичных и часто игнорируемых событий, сгруппированных по потенциальной степени угрозы. Особое внимание стоит уделить событиям, связанным с изменением политик безопасности и привилегий, так как они часто предшествуют эскалации.
| Текущий ID события | Старый ID (Win 2000/XP) | Критичность | Краткое описание и контекст |
|---|---|---|---|
| 1102 | 517 | Высокая | Очистка журнала событий Security. Прямая попытка скрыть следы. |
| 4618 | Нет | Высокая | Зафиксирован шаблон событий безопасности. Может указывать на атаку по известному сценарию. |
| 4648 | 552 | Высокая | Вход с использованием явных учетных данных. Используется при запуске от другого пользователя (runas) или при Pass-the-Hash атаках. |
| 4672 | 576 | Высокая | Назначение специальных привилегий новому входу (например, SeDebugPrivilege). Ключевой шаг для эскалации. |
| 4698 | 602 | Высокая | Создание запланированной задачи. Механизм персистентности. |
| 4706 | 610 | Высокая | Создание нового доверия к домену. Может быть признаком движения по сети в доменной среде. |
| 4719 | 612 | Высокая | Изменение политики аудита системы. Злоумышленник пытается отключить логирование своих действий. |
| 4720 | 624 | Высокая | Создание учетной записи пользователя. Создание «задней двери». |
| 4732 | 636 | Высокая | Добавление участника в локальную группу с поддержкой безопасности (например, в «Администраторы»). |
| 4740 | 644 | Высокая | Блокировка учетной записи пользователя. Может быть как следствием атаки на подбор, так и целенаправленной DoS-атакой на учетную запись. |
| 4794 | Нет | Высокая | Попытка установить режим восстановления служб каталогов (DSRM) на контроллере домена. Крайне опасное действие. |
| 4985 | Нет | Средняя | Изменение состояния транзакции. Может быть связано с манипуляциями с реестром или файловой системой через TxF. |
| 5031 | Нет | Средняя | Брандмауэр Windows заблокировал прием входящих подключений. Может быть признаком конфликта политик или попытки вредоносного ПО открыть порт. |
| 5156, 5157 | Нет | Средняя | Платформа фильтрации Windows разрешила/заблокировала сетевое подключение. Детализированный сетевой аудит. |
| 4624 | 528, 540 | Информац. | Успешный вход в систему. Один из самых частых событий, важен для отслеживания сессий. |
| 4625 | 529-537, 539 | Информац. | Неудачная попытка входа. Основной источник для выявления атак на подбор паролей. |
| 4634 | 538 | Информац. | Выход из системы. Важен для расчета продолжительности сессии. |
| 4647 | 551 | Информац. | Инициация выхода пользователем. Часть цепочки входа/выхода. |
| 4663 | 567 | Информац. | Попытка доступа к объекту (файлу, ключу реестра). Генерируется в огромных объемах, требует тщательной настройки SACL. |
| 4688 | 592 | Информац. | Создание нового процесса. Ключевое событие для отслеживания выполнения кода. Анализ командной строки и родительского процесса критичен. |
| 4697 | 601 | Информац. | Попытка установки службы. Еще один распространенный механизм персистентности. |
| 4768, 4769 | 672, 673 | Информац. | Запрос билета Kerberos (TGT, TGS). Основа для обнаружения атак на Kerberos (Golden Ticket, Silver Ticket). |
Глубинный анализ: события, о которых часто забывают
Помимо очевидных событий входа и выхода, стоит обратить внимание на менее заметные, но не менее значимые категории.
События политики IPsec (серия 5xxx): Кажущиеся скучными сообщения об ошибках согласования IPsec (например, 4960-4965) могут указывать на сетевые атаки «человек посередине» (MitM) или попытки спуфинга. Серия событий 5456-5474 отражает применение политик IPsec и их сбои, что критично для инфраструктур, где IPsec используется для сегментации сети.
События шифрования диска (BitLocker, серия 245xx): События с 24577 по 24595 в журнале «BitLocker-API» показывают начало, остановку и завершение шифрования или расшифровки тома. Их неожиданное появление может сигнализировать о попытке злоумышленника зашифровать данные для вымогательства (ransomware) или, наоборот, отключить защиту.
Изменения в политиках аудита: События 4719, 4902, 4907, 4908. Любое изменение в том, что именно система регистрирует, должно рассматриваться как потенциально враждебное, так как цель — снизить свою обнаруживаемость.
Эффективный мониторинг событий Windows, это не поиск иголки в стоге сена, а умение правильно настроить магнит. Это непрерывный процесс: от базовой настройки аудита и сбора логов до построения корреляционных правил в SIEM и регулярного пересмотра этих правил с учетом изменений в инфраструктуре и ландшафте угроз.