Erklären Sie mir, was die Windows-Event-IDs 4624, 4625 und 4688 bedeuten und wie Sie sie in einer Untersuchung nutzen würden.
Kurzantwort
4624 ist ein erfolgreicher Logon, 4625 ein fehlgeschlagener Logon und 4688 eine Prozesserstellung. In einer Untersuchung nutzen Sie 4625, um Credential-Angriffe aufzuspüren, 4624 (mit seinem Logon-Typ und der Quelle), um einen erfolgreichen Zugriff und dessen Zustandekommen zu bestätigen, und 4688, um zu sehen, was tatsächlich ausgeführt wurde, idealerweise mit aktiviertem Kommandozeilen-Auditing.
Windows-Sicherheitsereignisprotokolle sind das tägliche Brot eines SOC-Analysten, und diese drei IDs kommen ständig vor. Interviewer fragen das, um zu bestätigen, dass Sie die Logs selbst lesen können, statt sich für ihre Interpretation vollständig auf ein Tool zu verlassen.
4624 — erfolgreicher Logon
Ereignis 4624 verzeichnet einen erfolgreichen Logon. Das wichtigste Feld ist der Logon-Typ, der Ihnen sagt, wie die Sitzung erstellt wurde: Typ 2 (interaktiv, an der Tastatur), Typ 3 (Netzwerk, z. B. Zugriff auf eine Freigabe), Typ 10 (RemoteInteractive / RDP) und Typ 5 (Dienst). Er verzeichnet außerdem das Quellkonto, die Quell-IP und das Authentifizierungspaket. Ein Logon vom Typ 10 von einer unerwarteten externen IP ist beispielsweise ein starkes Signal für eine RDP-Kompromittierung.
4625 — fehlgeschlagener Logon
Ereignis 4625 ist ein fehlgeschlagener Logon, das Arbeitspferd zum Aufspüren von Credential-Angriffen. Die Status-/Substatus-Codes erklären, warum er fehlschlug (falsches Passwort, deaktiviertes Konto, gesperrtes Konto). Viele 4625 gegen ein einzelnes Konto deuten auf Brute Force hin; je wenige über viele Konten deuten auf Password Spray hin.
4688 — Prozesserstellung
Ereignis 4688 verzeichnet einen neuen Prozess. Hier sehen Sie, was lief. Entscheidend ist: Mit aktiviertem Kommandozeilen-Auditing erfasst 4688 die vollständige Kommandozeile — unschätzbar wertvoll, um kodiertes PowerShell, rundll32-Missbrauch oder Living-off-the-Land-Binaries zu erwischen. Kombinieren Sie es mit dem Elternprozess, um verdächtige Ketten wie Word, das cmd.exe startet, zu erkennen.
Sie miteinander verketten
Die wahre Stärke ist die Korrelation: Ein Schub von 4625, gefolgt von einem 4624 aus derselben Quelle, bedeutet, dass ein Credential-Angriff erfolgreich war; dieses Konto in die 4688-Ereignisse zu verfolgen zeigt, was der Angreifer als Nächstes tat.
Warum das wichtig ist
Diese Ereignisse und ihre Schlüsselfelder lesen zu können — nicht nur die Nummern aufzusagen — zeigt einem Interviewer, dass Sie einen Windows-Host praktisch untersuchen können, was zum Kern der SOC-Arbeit gehört.
Wahrscheinliche Anschlussfragen
- Was ist ein Logon-Typ und warum ist Typ 3 gegenüber Typ 10 von Bedeutung?
- Warum ist Kommandozeilen-Auditing für 4688-Ereignisse wichtig?
- Wie würden Sie ein 4625 und dann ein 4624 verketten, um eine erfolgreiche Brute Force aufzuspüren?