10 критически важных event ID для мониторинга

Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.
О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.
Контроллеры доменов
Event ID — (Категория) — Описание
1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.
2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.
3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.
4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.
5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.
6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя
7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа

(Аудит системных событий)
Указанный пользователь очистил журнал безопасности
Вход и выход из системы (Logon/Logoff)
Event Id — Описание
528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)
Типы входов в систему (Logon Types)
Тип входа в систему — Описание
2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)
Коды отказов Kerberos
Код ошибки — Причина
6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена
Коды ошибок NTLM
Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание
3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему
Код события 5379 windows 10
Вопрос
Добрый день. Сегодня на контроллере домена в журнале аудита стали фиксироваться следующие события:
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 10.04.2018 22:24:36
Код события: 4776
Категория задачи:Проверка учетных данных
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: DC.Z.RU
Описание:
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: JACK
Исходная рабочая станция:
Код ошибки: 0xC0000064
Xml события:
4776
0
0
14336
0
0x8010000000000000
479489427
Security
DC.DOMAIN.METIZ.RU
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
JACK
0xc0000064
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 10.04.2018 22:38:19
Код события: 4776
Категория задачи:Проверка учетных данных
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: DC.Z.RU
Описание:
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ZAKAZ
Исходная рабочая станция:
Код ошибки: 0xC0000064
Xml события:
4776
0
0
14336
0
0x8010000000000000
479490763
Security
DC.DOMAIN.METIZ.RU
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
ZAKAZ
0xc0000064
И так постоянно идет перебор разных несуществующих учеток. Что идет перебор не из вне уверен на 100%. Как определить компьютер, с которого происходит подбор?
Заметил. Подбор имен идет строго по алфавиту.
5377(S): учетные данные диспетчера учетных данных были восстановлены из резервного копирования.
Описание события:
Это событие создает каждый раз, когда пользователь (Subject) успешно восстанавливает базу данных диспетчера учетных данных.
Обычно это можно сделать, нажав кнопку «Восстановление учетных данных» в диспетчере учетных данных в панели управления.
Это событие создается на контроллерах доменов, серверах членов и рабочих станциях.
Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.
XML события:
Необходимые роли сервера: нет.
Минимальная версия ОС: Windows Server 2008, Windows Vista.
Версии события: 0.
Описания полей:
Тема:
Имя учетной записи [Тип = UnicodeString]: имя учетной записи, которая выполняла операцию восстановления.
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY».
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81».
Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”
Рекомендации по контролю безопасности
Для 5377 (S): учетные данные диспетчера учетных данных были восстановлены из резервного копирования.
Разбираемся в «кодах ошибок» Windows 10
Windows 10 — это комплексная система служб, процессов, алгоритмов. Периодически эта система подвергается сбоям, из-за чего возникают различного рода ошибки и, как следствие, появляются проблемы, связанные с нарушением бесперебойной работы компьютера. Любая такая ошибка имеет свой, индивидуальный системный код, благодаря которому можно выявить её причину и определить способ решения возникшей проблемы.
Самые распространённые ошибки Windows 10
Несмотря на то, что система Windows способна «наделять» каждую ошибку персональным кодом, выявить её причину достаточно сложно. Ведь расшифровку такого «кода ошибки» пользователю никто не даёт. Это для него всегда лишь набор цифр и букв. Следовательно и определиться со способом решения возникшей неполадки всегда бывает проблематично. Поэтому в нашей статье мы приведём краткую таблицу с самыми распространёнными «кодами ошибок», причинами их возникновения и способами решения.
Таблица: коды базовых ошибок Windows 10 (причины возникновения и способы их решения)
За время пользования разными версиями Windows, автор данной статьи не раз сталкивался с различными ошибками (имевшие не только базовые коды ошибок), каждая из которых нуждалась в своём способе решения. Однако автор может дать один полезный совет: первым делом, при любой возникшей из перечисленных ошибок, стоит запускать системное сканирование компьютера с автовосстановлением повреждённых файлов («DISM»). В 70–80% случаев этот шаг может полностью исправить возникшую ошибку.
Для того чтобы запустить такое сканирование необходимо:
Даже если сканирование показало что повреждённых компонентов нет, всё равно стоит провести процесс восстановления
Процесс восстановления обычно занимает всего пару минут
Журнал ошибок Windows 10 (что это такое и как им пользоваться)
Журнал ошибок Windows 10 (или журнал событий) представляет собой системный файл регистрации всех произошедших ошибок Windows (причём как явных с уведомлениями для пользователя, так и скрытых). С помощью такого журнала можно не только с точностью до секунды узнать когда произошла ошибка, но и её код, а также источник возникновения. Чтобы воспользоваться журналом событий следует:
Открыть необходимую категорию «Администрирование» можно также воспользовавшись поисковой строкой Windows
Для более удобного и быстрого запуск журнала событий ярлык «Просмотр событий» можно переместить на рабочий стол вашего ПК
Выделив всю папку «Журналы Windows» можно узнать общее количество прошедших событий за всё время
Все события можно отсортировать по одному из необходимых параметров
Помимо кода ошибки можно узнать полное название повреждённого файла (приложения), развернув параметр «Provider»
Видео: журнал событий Windows
Чтобы легче и быстрее ориентироваться в журнале событий Windows (в особенности когда необходимо найти ошибку) автор данной статьи рекомендует хотя бы раз в месяц проводить его очистку. Для этого достаточно лишь щёлкнуть правой кнопкой мыши по категории «Система» и нажать «Очистить журнал». К тому же стоит помнить, что не все события с пометкой «Ошибка» являются критичными, так как даже мелкий безвредный технический сбой в системе заносится в этот журнал.
Операционная система Windows — это сложный «цифровой механизм», в котором периодически возникают сбои. Ни один из пользователей не может быть застрахован от системных ошибок. Однако своевременная реакция на их появление, изучение и предотвращение последствий может помочь вашей ОС избежать критических неисправностей. Поэтому способность определять «коды ошибок» и уметь их расшифровывать является первостепенной задачей на пути к стабильной работе Windows.
4779(S): сеанс был отключен от оконной станции.
Описание события:
Это событие создается, когда пользователь отключается от существующего сеанса служб терминала или когда пользователь переключается с существующего рабочего стола с помощью быстрого переключения пользователей.
Это событие также создается при отключении пользователя от виртуального Hyper-V расширенного сеанса, например.
Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.
XML события:
Необходимые роли сервера: нет.
Минимальная версия ОС: Windows Server 2008, Windows Vista.
Версии события: 0.
Описания полей:
Тема:
Имя учетной записи [Type = UnicodeString]: имя учетной записи, для которой сеанс был отключен.
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY».
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81».
Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”
Сеанс:
Имя сеанса [Type = UnicodeString]: имя отключенного сеанса. Примеры:
RDP-Rcp#N, где N — это несколько сеансов — типичное имя сеанса RDP.
Консоль — сеанс консоли, типичный для быстрого переключения пользователей.
31C5CE94259D4006A9E4#3 — пример имени сеанса Hyper-V расширенного сеанса.
Список текущих сеансов с помощью команды «сеанс запроса» можно увидеть в командной подсказке. Пример вывода (см. столбец SESSIONNAME):
Дополнительные сведения:
Клиентский адрес [Type = UnicodeString]: IP-адрес компьютера, с которого сеанс отключен.
Адрес IPv6 или ::ffff:IPv4 адреса клиента.
::1 или 127.0.0.1 означает localhost.
Рекомендации по контролю безопасности
Для 4779 (S): сеанс был отключен от оконной станции.
| Тип требуемого мониторинга | Рекомендации |
|---|---|
| Учетные записи большой ценности: у вас может быть домен или локальные учетные записи большой ценности, для которых необходимо отслеживать каждое действие. Примеры учетных записей большой ценности: учетные записи администраторов баз данных, встроенная учетная запись локального администратора, учетные записи администраторов домена, учетные записи служб, учетные записи контроллеров домена и т. д. | Отслеживайте это событие с помощью «Subject\Account Name», соответствующего учетной записи или учетной записи с высокой стоимостью. |
| Аномалии и вредоносные действия: у вас могут быть особые требования касательно обнаружения аномалий или отслеживания потенциально вредоносных действий. Например, вам может потребоваться отслеживать использование учетной записи во внерабочее время. | При отслеживании аномалий или вредоносных действий используйте имя Subject\Account (с другими сведениями), чтобы отслеживать использование определенной учетной записи. |
| Неактивные учетные записи: у вас, возможно, есть неактивные, отключенные или гостевые учетные записи, а также другие учетные записи, которые не должны использоваться. | Отслеживайте это событие с помощью «Subject\Account Name», которое соответствует учетным записям, которые никогда не следует использовать. |
| Список разрешенных учетных записей: возможно, у вас есть список разрешенных учетных записей, которым разрешено выполнять действия, соответствующие определенным событиям. | Если это событие соответствует действию «только для допуска», просмотрите «Subject\Account Name» для учетных записей, которые находятся за пределами списка допуска. |
| Учетные записи различных типов: вам может потребоваться, чтобы определенные действия выполнялись только учетными записями определенных типов, например локальными учетными записями или учетными записями домена, учетными записями компьютеров или пользователей, учетными записями поставщиков или сотрудников и т. д. | Если это событие соответствует действию, которое необходимо отслеживать для определенных типов учетных записей, просмотрите «Subject\Account Name», чтобы узнать, является ли тип учетной записи ожидаемым. |
| Внешние учетные записи: вам может потребоваться отслеживать учетные записи из другого домена или «внешние» учетные записи, которым не разрешено выполнять определенные действия (представленные определенными событиями). | Отслеживайте это событие для «Subject\Account Domain», соответствующего учетным записям из другого домена или «внешних» учетных записей. |
| Ограничение использования компьютеров или устройств: у вас могут быть определенные компьютеры или устройства, на которых определенные люди (учетные записи) обычно не должны выполнять никаких действий. Например, у вас могут быть компьютеры, к которым не следует делать подключения с определенных учетных записей или адресов. | Мониторинг целевого компьютера: (или другого целевого устройства) для действий, выполняемых «Subject\Account Name», которые вас беспокоят. Если у вас есть целевой компьютер: (или другое целевое устройство), к которому не следует делать **** подключения с определенных учетных записей или адресов, отслеживайте это событие для соответствующего имени клиента или клиентского адреса. |
| Соглашения об именовании учетных записей: в вашей организации могут быть определенные соглашения об именовании учетных записей. | Отслеживайте «Subject\Account Name» для имен, не соответствующих конвенциям имен. |
Если быстрая переключение пользователей отключена на рабочих станциях или на определенных компьютерах, отслеживайте любое событие с именем сеанса = консолью.
Если удаленные подключения к настольным компьютерам не разрешены для определенных пользователей (Subject\Account Name) или отключены на некоторых компьютерах, отслеживайте имя сеанса = RDP-Tcp# (подстройка).
Чтобы обеспечить подключение только из внутреннего списка IP-адресов, отслеживайте дополнительные сведения\Клиентский адрес в этом событии.










