ワンクリックで
configuring-windows-event-logging-for-detection
配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。
Codex または Claude でインストール この Prompt をコピーして Codex、Claude、または他のアシスタントに貼り付けると、Skill ページを確認してインストールできます。
メニュー
配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。
Codex または Claude でインストール この Prompt をコピーして Codex、Claude、または他のアシスタントに貼り付けると、Skill ページを確認してインストールできます。
SOC 職業分類に基づく
通过分析 Zeek dns.log 中的高熵子域名查询、超量查询量、超长查询长度以及异常 DNS 记录类型,检测 DNS 隧道和数据外泄中的隐蔽通道通信。适用于:当需要狩猎基于 DNS 的 C2 或数据外泄通道、调查异常 DNS 查询模式、或响应涉及 DNS 隧道工具(iodine、dnscat2、DNSExfiltrator)的威胁情报时使用。
实施 Google 的 BeyondCorp 零信任访问模型,通过 IAP、Access Context Manager 和 Chrome Enterprise Premium,消除网络边界的隐式信任,强制执行基于身份的访问控制,实现无 VPN 的安全应用访问。适用于将传统 VPN 替换为零信任架构、部署 Identity-Aware Proxy、配置设备信任策略、或为远程办公实施上下文感知访问控制时使用。
在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。
攻击活动溯源归因分析涉及系统性地评估证据,以确定哪个威胁行为者或组织对某次网络行动负责。本技能涵盖使用 Diamond Model 和 ACH(竞争假设分析)收集并加权溯源归因指标、分析基础设施重叠、TTP 一致性、恶意软件代码相似性、操作时序模式和语言痕迹,以构建置信度加权的溯源归因评估。
从 PE 文件和内存转储中提取并分析 Cobalt Strike beacon 配置,以识别 C2 基础设施、Malleable C2 配置文件和攻击者操作惯例。
使用 Ghidra 及专用脚本对 Go 编译的恶意软件进行逆向工程,包括函数恢复、字符串提取和去符号表 Go 二进制文件的类型重建。
| name | configuring-windows-event-logging-for-detection |
| description | 配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。 |
| domain | cybersecurity |
| subdomain | endpoint-security |
| tags | ["endpoint","windows-security","event-logging","audit-policy","detection-engineering"] |
| version | 1.0.0 |
| author | mahipal |
| license | Apache-2.0 |
在以下情况下使用本技能:
不适用于 Sysmon 配置(独立技能)或 Linux 审计日志。
计算机配置 → Windows 设置 → 安全设置
→ 高级审计策略配置 → 审计策略
推荐设置:
账户登录:
- 审计凭据验证:成功、失败
- 审计 Kerberos 认证:成功、失败
账户管理:
- 审计安全组管理:成功
- 审计用户账户管理:成功、失败
登录/注销:
- 审计登录:成功、失败
- 审计注销:成功
- 审计特殊登录:成功
- 审计其他登录/注销事件:成功、失败
对象访问:
- 审计文件共享:成功、失败
- 审计可移动存储:成功、失败
- 审计 SAM:成功
策略更改:
- 审计审计策略更改:成功、失败
- 审计身份验证策略更改:成功
权限使用:
- 审计敏感权限使用:成功、失败
详细跟踪:
- 审计进程创建:成功
- 审计 DPAPI 活动:成功、失败
# 注册表:在事件 4688 中启用命令行日志记录
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit" `
-Name ProcessCreationIncludeCmdLine_Enabled -Value 1 -PropertyType DWORD -Force
# GPO:计算机配置 → 管理模板 → 系统 → 审计进程创建
# "在进程创建事件中包含命令行" → 已启用
# 将安全日志增加到 1 GB(默认 20 MB 不够用)
wevtutil sl Security /ms:1073741824
# 增加 PowerShell Operational 日志
wevtutil sl "Microsoft-Windows-PowerShell/Operational" /ms:536870912
# 设置日志保留策略为按需覆盖
wevtutil sl Security /rt:false
# 通过 GPO 配置:
# 计算机配置 → 管理模板 → Windows 组件
# → 事件日志服务 → 安全
# 最大日志文件大小(KB):1048576
# 在收集器服务器上:
wecutil qc /q
# 为高价值事件创建订阅:
# 事件 ID:4624(登录)、4625(登录失败)、4688(进程创建)、
# 4672(特殊权限)、4720(创建用户)、4728(组成员变更)、
# 7045(安装服务)、1102(日志清除)
# 在源端点上(GPO):
# 配置 WinRM:winrm quickconfig
# 配置事件转发:计算机配置 → 管理模板
# → Windows 组件 → 事件转发
# 配置目标订阅管理器:Server=http://collector:5985/wsman/SubscriptionManager/WEC
认证事件:
4624 - 登录成功(类型 2=交互式, 3=网络, 10=远程交互式)
4625 - 登录失败
4648 - 使用显式凭据登录(RunAs、哈希传递指示器)
4672 - 分配特殊权限(管理员登录)
4776 - NTLM 凭据验证
进程事件:
4688 - 进程创建(启用后含命令行)
4689 - 进程终止
账户事件:
4720 - 创建用户账户
4722 - 启用用户账户
4724 - 尝试重置密码
4728 - 成员添加到安全组
4732 - 成员添加到本地组
4756 - 成员添加到通用组
服务/系统事件:
7045 - 安装新服务(持久化指示器)
1102 - 清除审计日志(证据篡改)
4697 - 在系统中安装服务
横向移动指示器:
4648 + 4624(类型 3) - 基于凭据的横向移动
5140 - 访问网络共享
5145 - 网络共享访问检查(详细文件共享)
| 术语 | 定义 |
|---|---|
| 高级审计策略 | 细粒度审计子类别(58 个子类别,对比基本的 9 个类别) |
| 事件 ID 4688 | 进程创建事件;对跟踪端点上的执行行为至关重要 |
| WEF | Windows 事件转发(Windows Event Forwarding),无需第三方代理即可集中收集日志 |
| 登录类型 | 表示认证方式的数字代码(2=交互式, 3=网络, 10=RDP) |