Skip to content

Welche Windows-Ereignis-IDs und -Protokolle würdest du bei der Untersuchung eines Einbruchs zuerst heranziehen?

Kurzantwort

Das Security-Protokoll ist primär: 4624 erfolgreiche Anmeldung (mit Anmeldetyp), 4625 fehlgeschlagene Anmeldung, 4634/4647 Abmeldung, 4672 spezielle Rechte zugewiesen, 4720 Konto erstellt, 4688 Prozesserstellung (mit Befehlszeile, falls aktiviert) und 4768/4769 Kerberos. Ergänze 7045 Dienstinstallation (System-Protokoll), 4698 geplante Aufgabe erstellt und PowerShell-Skriptblock-Protokollierung (4104). Anmeldetyp und Befehlszeilen-Auditing machen diese Protokolle nützlich.

Bei einer Untersuchung spart das Wissen, welche Artefakte welche Frage beantworten, kostbare Zeit. Diese Frage prüft, ob du schnell von „etwas ist passiert" zu den konkreten Protokollen gelangst, die die Angreiferaktivität rekonstruieren, statt planlos durch Logs zu scrollen.

Authentifizierung und Konten (Security-Protokoll)

  • 4624 – erfolgreiche Anmeldung. Das Feld Anmeldetyp ist Gold wert: Typ 3 (Netzwerk), 10 (RemoteInteractive/RDP), 2 (interaktiv), 5 (Dienst). RDP und unerwartete Netzwerkanmeldungen an sensible Hosts verdienen genaue Prüfung.
  • 4625 – fehlgeschlagene Anmeldung; gruppiere diese, um Brute Force von Spray zu unterscheiden.
  • 4634 / 4647 – Abmeldung; 4672 – spezielle Rechte bei der Anmeldung zugewiesen (Admin-/erhöhte Sitzung).
  • 4720 / 4722 / 4728 / 4732 – Konto erstellt, aktiviert, einer privilegierten Gruppe hinzugefügt – klassische Signale für Persistenz und Privilegieneskalation.
  • 4768 / 4769 – Kerberos-TGT-/Service-Ticket-Anfragen, nützlich für die Jagd auf Kerberoasting und Golden Ticket.

Ausführung und Persistenz

  • 4688 – Prozesserstellung. Mit aktiviertem Befehlszeilen-Auditing erfasst sie die vollständige Befehlszeile, was zum Erwischen von kodiertem PowerShell und LOLBins unerlässlich ist.
  • 7045 (System-Protokoll) – ein neuer Dienst wurde installiert; 4697 ist das Äquivalent im Security-Protokoll.
  • 4698 – geplante Aufgabe erstellt.
  • PowerShell 4104 – die Skriptblock-Protokollierung zeichnet deobfuskierten Skriptinhalt auf; 4103 Modulprotokollierung ergänzt Pipeline-Details.

Warum das wichtig ist

Die Standardeinstellungen sind begrenzt: Viele davon (Befehlszeile in 4688, PowerShell-Skriptblöcke) müssen explizit aktiviert werden, und Sysmon ergänzt weit reichere Telemetrie zu Prozessen, Netzwerk und CreateRemoteThread. Eine starke Antwort nennt die Schlüssel-IDs, erklärt, dass Anmeldetyp und Befehlszeilen-Auditing sie verwertbar machen, und merkt an, dass gute IR davon abhängt, das Logging vor dem Vorfall zu konfigurieren.

Wahrscheinliche Anschlussfragen

  • Was sagt dir das Feld «Anmeldetyp» bei 4624, und welche Typen sind verdächtig?
  • Warum muss das Befehlszeilen-Auditing bei der Prozesserstellung aktiviert sein, um den vollen Wert aus 4688 zu ziehen?
  • Wie verbessert Sysmon die Standard-Windows-Protokolle?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.