一键导入
configuring-windows-event-logging-for-detection
配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
菜单
配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
基于 SOC 职业分类
通过分析 Zeek dns.log 中的高熵子域名查询、超量查询量、超长查询长度以及异常 DNS 记录类型,检测 DNS 隧道和数据外泄中的隐蔽通道通信。适用于:当需要狩猎基于 DNS 的 C2 或数据外泄通道、调查异常 DNS 查询模式、或响应涉及 DNS 隧道工具(iodine、dnscat2、DNSExfiltrator)的威胁情报时使用。
实施 Google 的 BeyondCorp 零信任访问模型,通过 IAP、Access Context Manager 和 Chrome Enterprise Premium,消除网络边界的隐式信任,强制执行基于身份的访问控制,实现无 VPN 的安全应用访问。适用于将传统 VPN 替换为零信任架构、部署 Identity-Aware Proxy、配置设备信任策略、或为远程办公实施上下文感知访问控制时使用。
在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。
攻击活动溯源归因分析涉及系统性地评估证据,以确定哪个威胁行为者或组织对某次网络行动负责。本技能涵盖使用 Diamond Model 和 ACH(竞争假设分析)收集并加权溯源归因指标、分析基础设施重叠、TTP 一致性、恶意软件代码相似性、操作时序模式和语言痕迹,以构建置信度加权的溯源归因评估。
从 PE 文件和内存转储中提取并分析 Cobalt Strike beacon 配置,以识别 C2 基础设施、Malleable C2 配置文件和攻击者操作惯例。
使用 Ghidra 及专用脚本对 Go 编译的恶意软件进行逆向工程,包括函数恢复、字符串提取和去符号表 Go 二进制文件的类型重建。
| name | configuring-windows-event-logging-for-detection |
| description | 配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。 |
| domain | cybersecurity |
| subdomain | endpoint-security |
| tags | ["endpoint","windows-security","event-logging","audit-policy","detection-engineering"] |
| version | 1.0.0 |
| author | mahipal |
| license | Apache-2.0 |
在以下情况下使用本技能:
不适用于 Sysmon 配置(独立技能)或 Linux 审计日志。
计算机配置 → Windows 设置 → 安全设置
→ 高级审计策略配置 → 审计策略
推荐设置:
账户登录:
- 审计凭据验证:成功、失败
- 审计 Kerberos 认证:成功、失败
账户管理:
- 审计安全组管理:成功
- 审计用户账户管理:成功、失败
登录/注销:
- 审计登录:成功、失败
- 审计注销:成功
- 审计特殊登录:成功
- 审计其他登录/注销事件:成功、失败
对象访问:
- 审计文件共享:成功、失败
- 审计可移动存储:成功、失败
- 审计 SAM:成功
策略更改:
- 审计审计策略更改:成功、失败
- 审计身份验证策略更改:成功
权限使用:
- 审计敏感权限使用:成功、失败
详细跟踪:
- 审计进程创建:成功
- 审计 DPAPI 活动:成功、失败
# 注册表:在事件 4688 中启用命令行日志记录
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit" `
-Name ProcessCreationIncludeCmdLine_Enabled -Value 1 -PropertyType DWORD -Force
# GPO:计算机配置 → 管理模板 → 系统 → 审计进程创建
# "在进程创建事件中包含命令行" → 已启用
# 将安全日志增加到 1 GB(默认 20 MB 不够用)
wevtutil sl Security /ms:1073741824
# 增加 PowerShell Operational 日志
wevtutil sl "Microsoft-Windows-PowerShell/Operational" /ms:536870912
# 设置日志保留策略为按需覆盖
wevtutil sl Security /rt:false
# 通过 GPO 配置:
# 计算机配置 → 管理模板 → Windows 组件
# → 事件日志服务 → 安全
# 最大日志文件大小(KB):1048576
# 在收集器服务器上:
wecutil qc /q
# 为高价值事件创建订阅:
# 事件 ID:4624(登录)、4625(登录失败)、4688(进程创建)、
# 4672(特殊权限)、4720(创建用户)、4728(组成员变更)、
# 7045(安装服务)、1102(日志清除)
# 在源端点上(GPO):
# 配置 WinRM:winrm quickconfig
# 配置事件转发:计算机配置 → 管理模板
# → Windows 组件 → 事件转发
# 配置目标订阅管理器:Server=http://collector:5985/wsman/SubscriptionManager/WEC
认证事件:
4624 - 登录成功(类型 2=交互式, 3=网络, 10=远程交互式)
4625 - 登录失败
4648 - 使用显式凭据登录(RunAs、哈希传递指示器)
4672 - 分配特殊权限(管理员登录)
4776 - NTLM 凭据验证
进程事件:
4688 - 进程创建(启用后含命令行)
4689 - 进程终止
账户事件:
4720 - 创建用户账户
4722 - 启用用户账户
4724 - 尝试重置密码
4728 - 成员添加到安全组
4732 - 成员添加到本地组
4756 - 成员添加到通用组
服务/系统事件:
7045 - 安装新服务(持久化指示器)
1102 - 清除审计日志(证据篡改)
4697 - 在系统中安装服务
横向移动指示器:
4648 + 4624(类型 3) - 基于凭据的横向移动
5140 - 访问网络共享
5145 - 网络共享访问检查(详细文件共享)
| 术语 | 定义 |
|---|---|
| 高级审计策略 | 细粒度审计子类别(58 个子类别,对比基本的 9 个类别) |
| 事件 ID 4688 | 进程创建事件;对跟踪端点上的执行行为至关重要 |
| WEF | Windows 事件转发(Windows Event Forwarding),无需第三方代理即可集中收集日志 |
| 登录类型 | 表示认证方式的数字代码(2=交互式, 3=网络, 10=RDP) |