# Журналы событий Windows ## Sysmon **Журнал Sysmon** (System Monitor) представляет собой мощный инструмент для мониторинга событий в операционных системах Windows. Он предоставляет детализированные данные о действиях в системе, что позволяет обнаруживать потенциальные угрозы и аномалии. Ниже описаны основные события журнала Sysmon и их характеристики: ### 1. **ProcessCreate (Создание процесса)** - **Event ID:** 1 - **Описание:** Запись создания нового процесса. - **Поля:** - **UtcTime:** Время события в формате UTC. - **ProcessGuid:** Уникальный идентификатор процесса. - **ProcessId:** Идентификатор процесса в системе. - **Image:** Путь к исполняемому файлу процесса. - **CommandLine:** Полная командная строка запуска процесса. - **ParentProcessGuid:** Уникальный идентификатор родительского процесса. - **ParentProcessId:** Идентификатор родительского процесса. - **ParentImage:** Путь к исполняемому файлу родительского процесса. ### 2. **NetworkConnect (Сетевое подключение)** - **Event ID:** 3 - **Описание:** Запись о сетевом подключении процесса. - **Поля:** - **UtcTime:** Время события в формате UTC. - **ProcessGuid:** Уникальный идентификатор процесса. - **ProcessId:** Идентификатор процесса в системе. - **Image:** Путь к исполняемому файлу процесса. - **User:** Имя пользователя, от имени которого выполняется процесс. - **Protocol:** Протокол сетевого подключения. - **Initiated:** Информация о том, кто инициировал подключение. - **SourceIp:** IP-адрес источника. - **SourcePort:** Порт источника. - **DestinationIp:** IP-адрес назначения. - **DestinationPort:** Порт назначения. ### 3. **FileCreate (Создание файла)** - **Event ID:** 11 - **Описание:** Запись о создании нового файла. - **Поля:** - **UtcTime:** Время события в формате UTC. - **ProcessGuid:** Уникальный идентификатор процесса, создающего файл. - **ProcessId:** Идентификатор процесса в системе. - **Image:** Путь к исполняемому файлу процесса. - **TargetFilename:** Путь к созданному файлу. - **CreationUtcTime:** Время создания файла в формате UTC. ### 4. **RegistryEvent (Событие реестра)** - **Event ID:** 13 - **Описание:** Запись о событии в реестре Windows. - **Поля:** - **UtcTime:** Время события в формате UTC. - **EventType:** Тип события (создание, изменение, удаление ключа и т. д.). - **ProcessGuid:** Уникальный идентификатор процесса, внесшего изменения. - **ProcessId:** Идентификатор процесса в системе. - **Image:** Путь к исполняемому файлу процесса. - **TargetObject:** Информация о реестровом объекте. ### 5. **WmiEvent (Событие WMI)** - **Event ID:** 19 - **Описание:** Запись о событии, связанном с Windows Management Instrumentation (WMI). - **Поля:** - **UtcTime:** Время события в формате UTC. - **Operation:** Тип операции WMI (например, создание процесса через WMI). - **User:** Имя пользователя, выполняющего операцию. - **Query:** WMI-запрос. C полным списком ивентов можно ознакомиться по ссылке https://github.com/olafhartong/sysmon-cheatsheet/blob/master/Sysmon-Cheatsheet.pdf ## Security Журнал безопасности Windows, также известный как Security Event Log, предоставляет важную информацию о событиях, связанных с безопасностью операционной системы. Ниже описаны основные события журнала Security с описанием ключевых полей: ### 1. **Event ID 4624 - Успешная аутентификация** - **Описание:** Это событие регистрирует успешную попытку аутентификации в системе. - **Поля:** - **Logon Type:** Тип входа (например, интерактивный, сетевой). - **Security ID:** Уникальный идентификатор безопасности пользователя (SID). - **Account Name:** Имя учетной записи пользователя. - **Source IP Address:** IP-адрес источника (если применимо). - **Logon ID:** Уникальный идентификатор входа. ### 2. **Event ID 4625 - Неудачная аутентификация** - **Описание:** Это событие регистрирует неудачные попытки аутентификации в системе. - **Поля:** - **Failure Reason:** Причина неудачи. - **Failure ID:** Идентификатор ошибки. - **Security ID:** Уникальный идентификатор безопасности пользователя (SID). - **Account Name:** Имя учетной записи пользователя. - **Source IP Address:** IP-адрес источника (если применимо). - **Logon ID:** Уникальный идентификатор входа. ### 3. **Event ID 4688 - Запуск нового процесса** - **Описание:** Запись о запуске нового процесса в системе. - **Поля:** - **New Process ID:** Идентификатор нового процесса. - **Security ID:** Уникальный идентификатор безопасности пользователя (SID). - **Account Name:** Имя учетной записи пользователя. - **Command Line:** Полная командная строка запуска процесса. Полезные ссылки: - **Интересные события журналов винды** - https://drive.google.com/file/d/1pEFUwXRy_yw62PTiNuIkHJk9Zg5oD4-X/view - **Онлайн-энциклопедия по логам (журнал Security и не только)*** - https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx ### Заключение Журналы Sysmon и Security предоставляют обширную информацию о действиях в системе, что делает их важными инструментами для мониторинга безопасности в среде Windows. При правильном анализе этих событий можно эффективно выявлять и реагировать на потенциальные угрозы.