VCS Passport Blue Team
  • VCS Passport 2024 : Blue Team
  • Server-Side Vulnerabilities
    • SQL Injection Writeup
    • Authentication Writeup
    • Access Control Writeup
    • Command Injection Writeup
    • Path Traversal Writeup
    • File Upload Vulnerabilities Writeup
    • Information Disclosure Writeup
  • Client-Side Vulnerabilities
    • Cross-site Scripting Writeup
  • Advanced Web Vulnerabilities
    • Insecure Deserialization Writeup
  • Code Punching
    • Bá
    • Đạt
    • Hải
    • Khiêm
    • Quân
    • Nam
  • Programing
    • Keylogger
    • Reverse Shell
    • Process Injection
    • Basic Process, Thread, HANDLE
    • Hook
  • LINUX PROGRAMING
    • Linux Internal
    • Keylogger & Ransomware
    • Hook & Inject
  • MALWARE ANALYSIS
    • Unpack
    • Finding Threat (Lab 21 - 24)
    • Malware Analysis
    • Finding Threat (Lab 01 - 20)
  • OJT
    • Cobalt Strike Lab
    • Shell
    • TTGS CTF
    • VCS Blue CTF Season 2
    • Process and Thread
    • Service
    • COM Hijack
    • OSCP
    • Active Directory
    • Log
    • Log Windows
    • Browser-C2
    • DllSideload
    • Purple Lab
  • Forensic Class HaiNH45
    • Week 1
    • Week 2
    • Week 3
Powered by GitBook
On this page
  • Windows Event Logs:
  • Cách bật một số log:
  1. OJT

Log Windows

On Job Training

Windows Event Logs:

1. EventID 1000: Application errors and crashes (Lỗi ứng dụng và sự cố sập ứng dụng)

  • Nguồn: Application

  • Mô tả: Log này ghi lại các lỗi xảy ra trong ứng dụng, dẫn đến việc ứng dụng bị sập hoặc ngừng hoạt động đột ngột. Thông tin trong log này bao gồm tên của ứng dụng bị lỗi, mô-đun gây ra lỗi, và địa chỉ bộ nhớ liên quan.

  • Sử dụng: Quản trị viên hệ thống sử dụng log này để xác định nguyên nhân của sự cố ứng dụng và khắc phục lỗi nhằm đảm bảo tính ổn định của hệ thống.

2. EventID 1002: Application hang (Ứng dụng bị treo)

  • Nguồn: Application

  • Mô tả: Log này ghi lại các sự cố khi một ứng dụng bị treo hoặc không phản hồi. Điều này có thể do ứng dụng không thể hoàn thành một tác vụ hoặc gặp phải tình trạng "đông cứng".

  • Sử dụng: Giúp quản trị viên xác định và xử lý các vấn đề về hiệu suất của ứng dụng, ngăn chặn ảnh hưởng đến người dùng cuối.

3. EventID 1033: Windows Installer removed the product (Windows Installer đã gỡ bỏ sản phẩm)

  • Nguồn: Application

  • Mô tả: Log này ghi nhận việc một sản phẩm phần mềm đã được gỡ bỏ khỏi hệ thống thông qua Windows Installer.

  • Sử dụng: Được dùng để theo dõi các thay đổi phần mềm trong hệ thống, đặc biệt quan trọng trong môi trường doanh nghiệp.

4. EventID 1034: Windows Installer removed the product (Windows Installer đã gỡ bỏ sản phẩm)

  • Nguồn: Application

  • Mô tả: Log này tương tự như EventID 1033, cũng ghi lại việc một sản phẩm phần mềm đã được gỡ bỏ khỏi hệ thống.

  • Sử dụng: Giúp quản trị viên theo dõi lịch sử gỡ bỏ phần mềm trên hệ thống.

5. EventID 1309: An unhandled exception has occurred (Xảy ra ngoại lệ chưa được xử lý)

  • Nguồn: Application

  • Mô tả: Log này ghi nhận sự kiện khi một ngoại lệ xảy ra trong ứng dụng nhưng không được xử lý, dẫn đến sự cố hoặc hành vi không mong muốn.

  • Sử dụng: Giúp phát hiện các lỗi lập trình hoặc các vấn đề trong logic ứng dụng, hỗ trợ trong việc khắc phục lỗi và cải thiện độ tin cậy của ứng dụng.

6. EventID 1316: Error unsecure deserialization viewstate

  • Nguồn: Application

  • Mô tả: Log này ghi lại các sự cố liên quan đến việc deserialization (giải tuần tự hóa) không an toàn của đối tượng ViewState trong ứng dụng web.

  • Sử dụng: Đây là một vấn đề bảo mật quan trọng, cần được quản trị viên xử lý để ngăn chặn các cuộc tấn công tiềm ẩn từ việc khai thác lỗ hổng này.

7. EventID 11707: Installation operation completed successfully (Quá trình cài đặt hoàn tất thành công)

  • Nguồn: Application

  • Mô tả: Log này ghi nhận việc một ứng dụng hoặc gói phần mềm đã được cài đặt thành công trên hệ thống.

  • Sử dụng: Giúp theo dõi lịch sử cài đặt phần mềm và đảm bảo rằng việc cài đặt đã diễn ra suôn sẻ mà không gặp lỗi.

8. EventID 11708: MsiInstall failed (MsiInstall thất bại)

  • Nguồn: Application

  • Mô tả: Log này ghi lại các lỗi xảy ra khi cố gắng cài đặt một ứng dụng hoặc gói phần mềm qua công cụ Windows Installer, nhưng quá trình này không thành công.

  • Sử dụng: Giúp xác định lý do vì sao quá trình cài đặt phần mềm thất bại và hỗ trợ khắc phục lỗi để cài đặt lại.

9. EventID 11724: Product Removal completed successfully (Quá trình gỡ cài đặt sản phẩm hoàn tất thành công)

  • Nguồn: Application

  • Mô tả: Log này ghi lại sự kiện khi một sản phẩm phần mềm đã được gỡ bỏ thành công khỏi hệ thống.

  • Sử dụng: Đảm bảo rằng quá trình gỡ bỏ phần mềm diễn ra đúng như mong đợi, giúp quản lý và kiểm soát các ứng dụng đã cài đặt trên hệ thống.

10. EventID 8193: PowerShell session created (Phiên PowerShell được tạo)

  • Nguồn: Microsoft-Windows-PowerShell/Operational

  • Mô tả: Log này ghi lại sự kiện khi một phiên làm việc của PowerShell được tạo. Điều này có nghĩa là một người dùng hoặc một tác vụ tự động đã khởi tạo PowerShell để thực hiện các lệnh hoặc kịch bản.

  • Sử dụng: Quản trị viên hệ thống sử dụng log này để theo dõi các hoạt động PowerShell, đảm bảo rằng chỉ những hành động hợp lệ mới được thực hiện và không có lệnh nào được chạy mà không có sự cho phép.

11. EventID 8194: PowerShell session created (Phiên PowerShell được tạo)

  • Nguồn: Microsoft-Windows-PowerShell/Operational

  • Mô tả: Tương tự như EventID 8193, log này cũng ghi nhận việc một phiên PowerShell được khởi tạo. Đây có thể là các phiên được tạo ở các ngữ cảnh khác nhau hoặc bởi các tác vụ khác nhau.

  • Sử dụng: Giúp quản trị viên theo dõi và kiểm tra xem các phiên PowerShell có được khởi tạo một cách hợp lệ và cần thiết hay không.

12. EventID 40691: Local initiation of PowerShell.exe and associated user (Khởi tạo PowerShell.exe cục bộ và người dùng liên quan)

  • Nguồn: Microsoft-Windows-PowerShell/Operational

  • Mô tả: Log này ghi lại sự kiện khi PowerShell.exe được khởi động trên hệ thống và kèm theo thông tin về người dùng đã khởi tạo nó.

  • Sử dụng: Giúp xác định người dùng nào đã thực hiện các lệnh PowerShell trên hệ thống, hỗ trợ việc điều tra nếu có hoạt động bất thường hoặc trái phép.

13. EventID 40692: Local initiation of PowerShell.exe and associated user (Khởi tạo PowerShell.exe cục bộ và người dùng liên quan)

  • Nguồn: Microsoft-Windows-PowerShell/Operational

  • Mô tả: Log này tương tự như EventID 40691, cũng ghi lại thông tin về việc khởi tạo PowerShell.exe và người dùng liên quan. Có thể sử dụng để theo dõi các phiên khác nhau của PowerShell.

  • Sử dụng: Giúp quản trị viên hệ thống kiểm soát và đảm bảo rằng các hành động thực hiện qua PowerShell đều hợp pháp và phù hợp với chính sách bảo mật.

14. EventID 53504: PowerShell authenticating user (PowerShell xác thực người dùng)

  • Nguồn: Microsoft-Windows-PowerShell/Operational

  • Mô tả: Log này ghi lại sự kiện khi PowerShell tiến hành xác thực người dùng trước khi cho phép họ thực hiện các tác vụ. Thông tin này bao gồm tên người dùng và trạng thái xác thực.

  • Sử dụng: Log này rất hữu ích để theo dõi và kiểm soát việc truy cập của người dùng qua PowerShell, đảm bảo rằng chỉ những người dùng đã xác thực mới được phép thực hiện các lệnh.

15. EventID 4103: PowerShell command invoked (Lệnh PowerShell được gọi)

  • Nguồn: Microsoft-Windows-PowerShell/Operational

  • Mô tả: Log này ghi lại khi một lệnh PowerShell được gọi hoặc thực thi. Đây là một sự kiện rất quan trọng cần được giám sát, vì PowerShell có khả năng thực thi nhiều loại lệnh, bao gồm các lệnh liên quan đến bảo mật.

  • Sử dụng: Quản trị viên cần theo dõi log này để đảm bảo rằng các lệnh thực thi không gây nguy hại cho hệ thống và được thực hiện bởi người dùng có thẩm quyền.

16. EventID 4104: PowerShell internal operations (Hoạt động nội bộ của PowerShell)

  • Nguồn: Microsoft-Windows-PowerShell/Operational

  • Mô tả: Log này ghi lại các hoạt động nội bộ của PowerShell, bao gồm các thao tác từ engine, providers và cmdlets. Đây là các thông tin chi tiết hơn về những gì đang diễn ra bên trong PowerShell.

  • Sử dụng: Log này hữu ích trong việc phân tích và khắc phục sự cố liên quan đến PowerShell, đồng thời giúp đảm bảo rằng các thao tác thực hiện đúng theo mong đợi và không có rủi ro bảo mật.

17. EventID 98: A TCP connection has been successfully established (Kết nối TCP đã được thiết lập thành công)

  • Nguồn: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational

  • Mô tả: Log này ghi nhận việc thiết lập thành công một kết nối TCP, thường liên quan đến các dịch vụ Remote Desktop.

  • Sử dụng: Quản trị viên sử dụng log này để theo dõi và đảm bảo rằng các kết nối từ xa qua RDP (Remote Desktop Protocol) đang hoạt động bình thường và không có sự cố kết nối.

18. EventID 131: The server accepted a new UDP connection from client (Máy chủ đã chấp nhận một kết nối UDP mới từ client)

  • Nguồn: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational

  • Mô tả: Log này ghi lại khi một máy chủ RDP chấp nhận kết nối mới sử dụng giao thức UDP từ một máy client. UDP thường được sử dụng để cải thiện hiệu suất trong các phiên RDP.

  • Sử dụng: Giúp quản trị viên theo dõi các kết nối UDP qua RDP, đảm bảo rằng việc kết nối từ xa diễn ra ổn định và an toàn.

19. EventID 31001: Failed logon to destination (Đăng nhập vào đích thất bại)

  • Nguồn: Microsoft-Windows-SmbClient/Security

  • Mô tả: Log này ghi lại các sự kiện khi một nỗ lực đăng nhập vào một đích, chẳng hạn như một máy chủ hoặc tài nguyên mạng, không thành công. Điều này có thể xảy ra do nhiều nguyên nhân như xác thực không thành công, tài khoản bị khóa, hoặc thiếu quyền truy cập.

  • Sử dụng: Log này rất hữu ích trong việc phát hiện các cuộc tấn công brute-force hoặc các nỗ lực truy cập trái phép vào các tài nguyên mạng. Quản trị viên có thể sử dụng log này để điều tra các sự cố bảo mật liên quan đến đăng nhập.

20. EventID 1: Process creation (Tạo tiến trình)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại sự kiện khi một tiến trình mới được tạo trên hệ thống. Nó cung cấp thông tin chi tiết về tên tiến trình, ID của tiến trình, tên của tiến trình cha, và các thông số khác liên quan đến quá trình tạo.

  • Sử dụng: Giám sát các sự kiện tạo tiến trình là rất quan trọng để phát hiện các hoạt động đáng ngờ, chẳng hạn như việc tạo ra các tiến trình bất thường có thể liên quan đến malware hoặc các cuộc tấn công mạng.

21. EventID 2: A process changed a file creation time (Một tiến trình thay đổi thời gian tạo tệp)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại khi một tiến trình thay đổi thời gian tạo của một tệp. Thao tác này có thể là một dấu hiệu của việc cố gắng che giấu dấu vết của một hoạt động độc hại.

  • Sử dụng: Log này đặc biệt hữu ích trong việc phát hiện các hành vi cố gắng che đậy dấu vết sau khi một hệ thống đã bị xâm nhập. Việc thay đổi thời gian tạo tệp thường là một dấu hiệu của các hoạt động tinh vi liên quan đến tấn công mạng.

22. EventID 3: Network connection (Kết nối mạng)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi nhận các sự kiện khi một kết nối mạng được thiết lập. Nó cung cấp thông tin về địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích và các giao thức được sử dụng.

  • Sử dụng: Quản trị viên sử dụng log này để giám sát lưu lượng mạng và phát hiện các kết nối bất thường hoặc không mong muốn, giúp ngăn chặn các cuộc tấn công từ bên ngoài hoặc sự rò rỉ thông tin.

23. EventID 4: Sysmon service state changed (Trạng thái dịch vụ Sysmon thay đổi)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại khi trạng thái của dịch vụ Sysmon thay đổi, chẳng hạn như khi dịch vụ được khởi động hoặc dừng lại.

  • Sử dụng: Việc giám sát sự thay đổi trạng thái của Sysmon là quan trọng để đảm bảo rằng dịch vụ này đang hoạt động liên tục và không bị tắt bởi các yếu tố không mong muốn, đảm bảo dữ liệu giám sát luôn sẵn sàng.

24. EventID 5: Process terminated (Tiến trình kết thúc)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi nhận sự kiện khi một tiến trình bị kết thúc trên hệ thống. Thông tin về tiến trình bao gồm tên tiến trình, ID tiến trình, và các thông số khác sẽ được ghi lại.

  • Sử dụng: Theo dõi sự kết thúc của các tiến trình giúp quản trị viên phát hiện các hành vi bất thường, chẳng hạn như việc kết thúc đột ngột của các tiến trình quan trọng hoặc tiến trình liên quan đến bảo mật.

25. EventID 6: Driver loaded (Driver được nạp)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại khi một driver (trình điều khiển) được nạp vào bộ nhớ. Thông tin bao gồm tên của driver, đường dẫn tệp, và trạng thái nạp driver.

  • Sử dụng: Giám sát việc nạp driver rất quan trọng để phát hiện các driver độc hại có thể bị nạp vào hệ thống bởi malware hoặc các tác nhân tấn công khác. Điều này giúp bảo vệ tính toàn vẹn của hệ điều hành.

26. EventID 7: Image loaded (Hình ảnh được nạp)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại khi một tệp hình ảnh (image) được nạp vào bộ nhớ, thường là các thư viện động (.DLL) hoặc các thành phần thực thi khác.

  • Sử dụng: Log này được sử dụng để giám sát và phát hiện việc nạp các thành phần có thể độc hại hoặc không mong muốn vào bộ nhớ hệ thống, giúp ngăn chặn các cuộc tấn công dựa trên DLL injection hoặc các phương thức tương tự.

27. EventID 8: CreateRemoteThread (Tạo CreateRemoteThread)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại sự kiện khi một luồng từ xa (remote thread) được tạo ra trong một tiến trình khác. Đây là một kỹ thuật thường được sử dụng bởi malware để chèn mã độc vào các tiến trình đang chạy.

  • Sử dụng: Việc phát hiện và giám sát các sự kiện CreateRemoteThread là rất quan trọng để bảo vệ hệ thống khỏi các cuộc tấn công chèn mã độc hoặc các hoạt động trái phép khác.

28. EventID 9: RawAccessRead (Đọc truy cập thô)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại khi có một hoạt động đọc trực tiếp từ đĩa mà không qua hệ thống file. Điều này thường xảy ra khi một tiến trình cố gắng truy cập dữ liệu trên đĩa một cách trực tiếp, bỏ qua các cơ chế kiểm soát thông thường của hệ điều hành.

  • Sử dụng: Log này rất quan trọng trong việc phát hiện các hoạt động bất thường hoặc trái phép, chẳng hạn như khi malware hoặc các công cụ phân tích pháp y cố gắng truy cập dữ liệu một cách thô sơ, bỏ qua các kiểm tra an ninh tiêu chuẩn.

29. EventID 10: ProcessAccess (Truy cập tiến trình)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi nhận các sự kiện khi một tiến trình cố gắng truy cập hoặc tương tác với một tiến trình khác. Điều này có thể bao gồm việc đọc, ghi, hoặc thực hiện thao tác trên bộ nhớ của tiến trình khác.

  • Sử dụng: Việc giám sát ProcessAccess rất quan trọng để phát hiện các hoạt động tiềm ẩn rủi ro, chẳng hạn như khi malware cố gắng tiêm mã vào một tiến trình hợp pháp để thực hiện các hành động trái phép.

30. EventID 11: FileCreate (Tạo tệp)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi nhận các sự kiện khi một tệp mới được tạo trên hệ thống. Nó bao gồm thông tin về tên tệp, đường dẫn và tiến trình đã tạo tệp đó.

  • Sử dụng: Quản trị viên có thể sử dụng log này để theo dõi việc tạo tệp mới trên hệ thống, đặc biệt là trong các khu vực nhạy cảm như thư mục hệ thống hoặc thư mục tạm thời, nơi malware có thể lưu trữ các tệp thực thi độc hại.

31. EventID 12: RegistryEvent (Object create and delete) (Sự kiện Registry - Tạo và xóa đối tượng)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại các sự kiện khi một đối tượng trong Windows Registry được tạo hoặc xóa. Windows Registry là một cơ sở dữ liệu trung tâm lưu trữ các cấu hình và thiết lập cho hệ điều hành và các ứng dụng.

  • Sử dụng: Log này rất hữu ích trong việc phát hiện các thay đổi không mong muốn hoặc trái phép trong Registry, thường là mục tiêu của các cuộc tấn công malware để thay đổi cấu hình hệ thống hoặc cài đặt phần mềm độc hại.

32. EventID 13: RegistryEvent (Value Set) (Sự kiện Registry - Thiết lập giá trị)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại sự kiện khi một giá trị trong Windows Registry được thiết lập hoặc thay đổi. Điều này bao gồm các thông tin về tên của khóa Registry, giá trị cũ và giá trị mới.

  • Sử dụng: Việc giám sát các thay đổi giá trị trong Registry rất quan trọng để phát hiện và ngăn chặn các thay đổi trái phép có thể ảnh hưởng đến hoạt động của hệ điều hành hoặc các ứng dụng cài đặt trên hệ thống.

33. EventID 14: RegistryEvent (Key and Value Rename) (Sự kiện Registry - Đổi tên khóa và giá trị)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại khi một khóa hoặc giá trị trong Registry được đổi tên. Điều này có thể xảy ra khi một tiến trình hoặc người dùng thay đổi tên của một phần cài đặt trong hệ thống.

  • Sử dụng: Log này giúp quản trị viên phát hiện các thay đổi bất thường trong Registry, có thể là dấu hiệu của một cuộc tấn công hoặc cấu hình sai lầm.

34. EventID 16: ServiceConfigurationChange (Thay đổi cấu hình dịch vụ)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi nhận các sự kiện khi cấu hình của một dịch vụ trên hệ thống Windows được thay đổi. Dịch vụ (service) là các chương trình chạy ngầm và cung cấp các chức năng quan trọng cho hệ điều hành và các ứng dụng.

  • Sử dụng: Việc giám sát các thay đổi cấu hình dịch vụ là rất quan trọng để đảm bảo rằng các dịch vụ hệ thống không bị thay đổi một cách trái phép hoặc gây ảnh hưởng đến tính ổn định và bảo mật của hệ thống.

35. EventID 19: WmiEvent (WmiEventFilter activity detected) (Hoạt động bộ lọc sự kiện WMI được phát hiện)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại hoạt động của các bộ lọc sự kiện WMI (Windows Management Instrumentation). WMI là một tập hợp các công cụ quản lý hệ thống cho phép quản trị viên giám sát và kiểm soát hệ thống Windows.

  • Sử dụng: WMI thường bị kẻ tấn công lợi dụng để thực hiện các tác vụ từ xa hoặc theo dõi hệ thống. Việc giám sát các hoạt động của WMI giúp phát hiện và ngăn chặn các hành vi đáng ngờ hoặc trái phép.

36. EventID 20: WmiEvent (WmiEventConsumer activity detected) (Hoạt động bộ tiêu thụ sự kiện WMI được phát hiện)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi nhận hoạt động của các đối tượng tiêu thụ sự kiện WMI, là những đối tượng có khả năng phản hồi hoặc thực hiện hành động khi một sự kiện WMI được kích hoạt.

  • Sử dụng: Giám sát hoạt động này là một phần quan trọng trong việc phát hiện các cuộc tấn công sử dụng WMI để duy trì sự hiện diện trong hệ thống hoặc thực hiện các hành động độc hại.

37. EventID 21: WmiEvent (WmiEventConsumerToFilter activity detected) (Hoạt động kết nối bộ tiêu thụ sự kiện WMI với bộ lọc được phát hiện)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại sự kiện khi một bộ tiêu thụ sự kiện WMI (WmiEventConsumer) được kết nối với một bộ lọc sự kiện WMI (WmiEventFilter). Sự kiện này cho thấy rằng có một mối liên hệ giữa điều kiện sự kiện và hành động được thực hiện khi sự kiện xảy ra.

  • Sử dụng: Giám sát hoạt động này giúp phát hiện và ngăn chặn các cuộc tấn công sử dụng WMI để duy trì sự hiện diện lâu dài trong hệ thống hoặc thực hiện các hành động tự động không mong muốn.

38. EventID 22: DNSEvent (DNS query) (Truy vấn DNS)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi nhận các truy vấn DNS được thực hiện từ hệ thống. Mỗi khi một tên miền cần được phân giải thành địa chỉ IP, một truy vấn DNS sẽ được gửi đi, và log này sẽ ghi lại thông tin đó.

  • Sử dụng: Việc theo dõi các truy vấn DNS rất quan trọng để phát hiện các hoạt động liên lạc bất thường hoặc trái phép, chẳng hạn như khi một malware liên lạc với máy chủ điều khiển từ xa thông qua tên miền.

39. EventID 23: FileDelete (File Delete archived) (Tệp bị xóa đã được lưu trữ)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi lại sự kiện khi một tệp bị xóa khỏi hệ thống và có thông tin về việc lưu trữ của tệp đó trước khi bị xóa.

  • Sử dụng: Log này hữu ích trong việc theo dõi các hoạt động xóa tệp, đặc biệt là trong các thư mục quan trọng hoặc nhạy cảm, giúp phát hiện và điều tra các hành vi có thể gây tổn hại dữ liệu.

40. EventID 25: Process Tampering (Can thiệp vào tiến trình)

  • Nguồn: Microsoft-Windows-Sysmon/Operational

  • Mô tả: Log này ghi nhận các hoạt động can thiệp vào tiến trình đang chạy, chẳng hạn như sửa đổi hoặc can thiệp vào các tài nguyên của tiến trình.

  • Sử dụng: Giám sát Process Tampering rất quan trọng để phát hiện các cuộc tấn công cố gắng thay đổi hành vi của tiến trình hoặc thực hiện các hành động không mong muốn bằng cách tiêm mã độc hoặc sửa đổi bộ nhớ của tiến trình.

41. EventID 106: Registered Task Scheduler task (Tác vụ Task Scheduler đã được đăng ký)

  • Nguồn: Microsoft-Windows-TaskScheduler/Maintenance

  • Mô tả: Log này ghi lại khi một tác vụ trong Task Scheduler được đăng ký. Task Scheduler là một công cụ của Windows cho phép tự động hóa các tác vụ nhất định vào những thời điểm được chỉ định.

  • Sử dụng: Giám sát các tác vụ đăng ký trong Task Scheduler là cần thiết để đảm bảo rằng không có tác vụ tự động nào được thêm vào hệ thống mà không được phép, có thể dẫn đến việc thực thi các hành động độc hại.

42. EventID 140: Updated Task Scheduler task (Tác vụ Task Scheduler đã được cập nhật)

  • Nguồn: Microsoft-Windows-TaskScheduler/Maintenance

  • Mô tả: Log này ghi nhận khi một tác vụ đã được cập nhật trong Task Scheduler. Điều này có thể liên quan đến việc thay đổi thời gian chạy, hành động thực hiện, hoặc các thông số khác của tác vụ.

  • Sử dụng: Việc giám sát các cập nhật tác vụ giúp phát hiện các thay đổi bất thường hoặc trái phép trong các tác vụ tự động, có thể ảnh hưởng đến hoạt động hoặc bảo mật của hệ thống.

43. EventID 141: Deleted Task Scheduler task (Tác vụ Task Scheduler đã bị xóa)

  • Nguồn: Microsoft-Windows-TaskScheduler/Maintenance

  • Mô tả: Log này ghi lại khi một tác vụ trong Task Scheduler bị xóa khỏi hệ thống. Điều này có thể do quản trị viên thực hiện hoặc bởi một tiến trình khác.

  • Sử dụng: Giám sát việc xóa tác vụ tự động giúp đảm bảo rằng không có tác vụ quan trọng nào bị xóa trái phép, tránh ảnh hưởng đến các quy trình tự động hóa cần thiết trên hệ thống.

44. EventID 200: Task Scheduler launched action (Task Scheduler khởi động hành động)

  • Nguồn: Microsoft-Windows-TaskScheduler/Maintenance

  • Mô tả: Log này ghi nhận sự kiện khi Task Scheduler khởi động một hành động được lên lịch từ một tác vụ đã đăng ký.

  • Sử dụng: Quản trị viên có thể sử dụng log này để xác nhận rằng các hành động tự động hóa đã được thực hiện đúng theo kế hoạch và không có sự cố nào xảy ra.

45. EventID 201: Task Scheduler successfully completed task (Task Scheduler hoàn thành thành công tác vụ)

  • Nguồn: Microsoft-Windows-TaskScheduler/Maintenance

  • Mô tả: Log này ghi lại khi một tác vụ trong Task Scheduler đã được hoàn thành thành công. Điều này có nghĩa là hành động được yêu cầu bởi tác vụ đã được thực hiện mà không gặp lỗi.

  • Sử dụng: Giám sát các tác vụ đã hoàn thành giúp đảm bảo rằng các quy trình tự động hóa diễn ra suôn sẻ và không có vấn đề nào ảnh hưởng đến hoạt động của hệ thống.

46. EventID 21: Remote Desktop Services: Session logon succeeded (Dịch vụ Remote Desktop: Đăng nhập phiên thành công)

  • Nguồn: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational

  • Mô tả: Log này ghi lại khi một người dùng đăng nhập thành công vào một phiên Remote Desktop. Điều này cho thấy rằng người dùng đã được xác thực và kết nối với máy tính từ xa đã được thiết lập.

  • Sử dụng: Việc theo dõi các đăng nhập phiên RDP giúp đảm bảo rằng các kết nối từ xa chỉ được thực hiện bởi các người dùng hợp pháp, hỗ trợ trong việc bảo vệ hệ thống khỏi các nỗ lực xâm nhập trái phép.

47. EventID 22: Remote Desktop Services: Shell start notification received (Dịch vụ Remote Desktop: Nhận thông báo khởi động Shell)

  • Nguồn: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational

  • Mô tả: Log này ghi nhận khi một shell (giao diện dòng lệnh hoặc giao diện đồ họa) bắt đầu chạy sau khi người dùng đăng nhập thành công vào phiên Remote Desktop.

  • Sử dụng: Giám sát sự kiện này giúp xác nhận rằng người dùng không chỉ đăng nhập mà còn có thể tương tác với hệ thống từ xa, đảm bảo tính toàn vẹn của các phiên làm việc từ xa.

48. EventID 25: Remote Desktop Services: Session reconnection succeeded (Dịch vụ Remote Desktop: Kết nối lại phiên thành công)

  • Nguồn: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational

  • Mô tả: Log này ghi nhận sự kiện khi một người dùng đã ngắt kết nối khỏi một phiên Remote Desktop và sau đó kết nối lại thành công vào phiên đó. Điều này có nghĩa là người dùng đã khôi phục lại phiên làm việc từ xa của mình mà không phải đăng nhập lại từ đầu.

  • Sử dụng: Việc giám sát các kết nối lại thành công giúp quản trị viên theo dõi hoạt động của người dùng trên hệ thống, đảm bảo rằng phiên làm việc từ xa không bị xâm phạm trong quá trình kết nối lại.

49. EventID 41: Remote Desktop Services: Session logon succeeded (Dịch vụ Remote Desktop: Đăng nhập phiên thành công)

  • Nguồn: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational

  • Mô tả: Log này tương tự với EventID 21, ghi nhận sự kiện khi một người dùng đăng nhập thành công vào một phiên Remote Desktop. Điều này cho thấy rằng người dùng đã được xác thực và phiên làm việc từ xa đã bắt đầu.

  • Sử dụng: Log này cung cấp thêm một lớp kiểm tra để đảm bảo rằng các phiên làm việc từ xa đang diễn ra hợp pháp và an toàn.

Note:

Khi RDP, chỉ có 40, 24, 25

50. EventID 1024: RDP ClientActiveX is trying to connect to the server (RDP ClientActiveX đang cố gắng kết nối với máy chủ)

  • Nguồn: Microsoft-Windows-TerminalServices-RDPClient/Operational

  • Mô tả: Log này ghi nhận khi một thành phần ActiveX của RDP Client cố gắng kết nối tới một máy chủ. ActiveX thường được sử dụng trong trình duyệt để hỗ trợ các ứng dụng web tương tác cao như Remote Desktop.

  • Sử dụng: Quản trị viên sử dụng log này để theo dõi và xác nhận rằng các kết nối từ xa thông qua ActiveX đều được thực hiện hợp pháp và không có sự xâm nhập trái phép.

51. EventID 1102: The client has initiated a multi-transport connection to the server (Máy khách đã khởi tạo một kết nối đa phương tiện đến máy chủ)

  • Nguồn: Microsoft-Windows-TerminalServices-RDPClient/Operational

  • Mô tả: Log này ghi nhận khi một máy khách RDP bắt đầu một kết nối đa phương tiện (multi-transport) với máy chủ. Điều này có nghĩa là máy khách có thể sử dụng nhiều giao thức để duy trì và tối ưu hóa kết nối từ xa.

  • Sử dụng: Log này rất hữu ích để theo dõi hiệu suất và chất lượng kết nối của các phiên RDP, đảm bảo rằng các kết nối từ xa không chỉ an toàn mà còn ổn định.

52. EventID 1149: Remote Desktop Services: User authentication succeeded (Dịch vụ Remote Desktop: Xác thực người dùng thành công)

  • Nguồn: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

  • Mô tả: Log này ghi lại sự kiện khi người dùng được xác thực thành công trong quá trình kết nối RDP. Điều này cho thấy rằng người dùng đã nhập đúng thông tin đăng nhập và đã được cấp quyền truy cập.

  • Sử dụng: Log này là một phần quan trọng trong việc bảo vệ các phiên làm việc từ xa, giúp đảm bảo rằng chỉ những người dùng hợp pháp mới có thể truy cập vào hệ thống qua RDP.

53. EventID 6: WSMan session initialized (Phiên WSMan được khởi tạo)

  • Nguồn: Microsoft-Windows-WinRM/Operational

  • Mô tả: Log này ghi nhận khi một phiên WSMan (Windows Remote Management) được khởi tạo. WSMan là một giao thức quản lý từ xa dựa trên HTTP cho phép các quản trị viên quản lý máy tính từ xa.

  • Sử dụng: Giám sát sự kiện này giúp quản trị viên theo dõi các hoạt động quản lý từ xa, đảm bảo rằng các phiên làm việc từ xa qua WSMan đang diễn ra an toàn và không có sự truy cập trái phép.

54. EventID 8: WSMan session de-initialized (Phiên WSMan kết thúc)

  • Nguồn: Microsoft-Windows-WinRM/Operational

  • Mô tả: Log này ghi lại sự kiện khi một phiên WSMan kết thúc. Điều này có thể xảy ra khi quản trị viên hoàn tất các thao tác từ xa hoặc khi phiên tự động đóng sau một khoảng thời gian không hoạt động.

  • Sử dụng: Giám sát việc kết thúc phiên WSMan giúp đảm bảo rằng các phiên từ xa không kéo dài không cần thiết, giảm nguy cơ bị xâm nhập hoặc sử dụng tài nguyên không hợp lý.

55. EventID 15: WSMan session de-initialized (Phiên WSMan kết thúc)

  • Nguồn: Microsoft-Windows-WinRM/Operational

  • Mô tả: Tương tự như EventID 8, log này ghi nhận khi một phiên WSMan kết thúc. Việc này giúp giám sát các hoạt động từ xa và đảm bảo rằng mọi phiên làm việc đều kết thúc an toàn.

  • Sử dụng: Log này giúp quản trị viên có thêm thông tin để kiểm soát các phiên làm việc từ xa, đảm bảo rằng không có hoạt động nào diễn ra sau khi phiên đã được đóng.

56. EventID 16: WSMan session de-initialized (Phiên WSMan kết thúc)

  • Nguồn: Microsoft-Windows-WinRM/Operational

  • Mô tả: Log này cũng ghi nhận sự kiện kết thúc một phiên WSMan, giống như EventID 8 và 15. Việc này nhằm đảm bảo rằng các phiên từ xa đều được giám sát và kết thúc đúng lúc.

  • Sử dụng: Quản trị viên sử dụng log này để theo dõi và xác minh rằng không có phiên từ xa nào còn mở mà không được kiểm soát.

57. EventID 33: WSMan session de-initialized (Phiên WSMan kết thúc)

  • Nguồn: Microsoft-Windows-WinRM/Operational

  • Mô tả: Log này tiếp tục ghi nhận việc kết thúc một phiên WSMan khác. Nó cung cấp thông tin về thời điểm phiên làm việc từ xa đã được kết thúc.

  • Sử dụng: Giúp đảm bảo rằng tất cả các phiên làm việc từ xa đều được xử lý an toàn và không bị lợi dụng cho các hoạt động trái phép.

58. EventID 91: WinRM session creation (Tạo phiên WinRM)

  • Nguồn: Microsoft-Windows-WinRM/Operational

  • Mô tả: Log này ghi lại sự kiện khi một phiên WinRM (Windows Remote Management) được tạo. WinRM là một giao thức cho phép thực hiện các thao tác quản lý và giám sát từ xa trên hệ điều hành Windows.

  • Sử dụng: Log này quan trọng trong việc giám sát các hoạt động từ xa trên hệ thống, đảm bảo rằng chỉ những phiên WinRM hợp pháp mới được tạo và duy trì.

59. EventID 168: WinRM authenticating user (WinRM xác thực người dùng)

  • Nguồn: Microsoft-Windows-WinRM/Operational

  • Mô tả: Log này ghi nhận khi WinRM tiến hành xác thực người dùng. Thông tin này bao gồm người dùng nào đã cố gắng kết nối và trạng thái của quá trình xác thực.

  • Sử dụng: Quản trị viên sử dụng log này để theo dõi và đảm bảo rằng chỉ những người dùng được phép mới có thể truy cập vào hệ thống qua WinRM.

60. EventID 5857: Service Started (Dịch vụ bắt đầu)

  • Nguồn: Microsoft-Windows-WMI-Activity/Operational

  • Mô tả: Log này ghi lại khi một dịch vụ WMI (Windows Management Instrumentation) được khởi động. WMI là một công cụ quan trọng cho việc quản lý và giám sát hệ thống, cung cấp giao diện cho các tác vụ quản trị hệ thống.

  • Sử dụng: Quản trị viên hệ thống sử dụng log này để theo dõi việc khởi động các dịch vụ WMI, đảm bảo rằng chúng hoạt động bình thường và phục vụ cho mục đích quản lý hệ thống.

61. EventID 5858: Client Indicates Failure (Máy khách chỉ định thất bại)

  • Nguồn: Microsoft-Windows-WMI-Activity/Operational

  • Mô tả: Log này ghi lại khi một máy khách WMI chỉ ra rằng đã xảy ra lỗi trong quá trình thực hiện một yêu cầu hoặc thao tác nào đó qua WMI.

  • Sử dụng: Log này giúp quản trị viên xác định các vấn đề khi sử dụng WMI, chẳng hạn như lỗi trong quá trình thực thi lệnh quản lý hoặc giao tiếp giữa các máy khách và máy chủ.

62. EventID 5860: Temporary ESS Started (ESS tạm thời đã bắt đầu)

  • Nguồn: Microsoft-Windows-WMI-Activity/Operational

  • Mô tả: Log này ghi nhận khi một dịch vụ tạm thời của ESS (Event Subscription Service) trong WMI được khởi động. ESS là một thành phần của WMI dùng để quản lý các sự kiện theo thời gian thực.

  • Sử dụng: Theo dõi log này giúp quản trị viên hiểu rõ các hoạt động của WMI và đảm bảo rằng dịch vụ tạm thời hoạt động đúng cách mà không gây ra sự cố cho hệ thống.

63. EventID 5861: ESS Consumer Binding (ESS Consumer Binding)

  • Nguồn: Microsoft-Windows-WMI-Activity/Operational

  • Mô tả: Log này ghi nhận sự kiện khi ESS trong WMI kết nối với một đối tượng tiêu thụ (consumer). Điều này có nghĩa là một sự kiện đã được đăng ký và chuẩn bị để xử lý bởi một dịch vụ hoặc ứng dụng.

  • Sử dụng: Quản trị viên sử dụng log này để giám sát và xác nhận rằng các sự kiện WMI đang được quản lý đúng cách và không có vấn đề gì trong việc kết nối hoặc xử lý sự kiện.

64. EventID 1102: Audit log cleared (Nhật ký kiểm toán đã bị xóa)

  • Nguồn: Security

  • Mô tả: Log này ghi lại khi nhật ký kiểm toán (audit log) của hệ thống bị xóa hoặc xóa trống. Đây là một hành động quan trọng thường chỉ được thực hiện bởi quản trị viên có quyền cao.

  • Sử dụng: Việc xóa nhật ký kiểm toán có thể là dấu hiệu của một cuộc tấn công hoặc hoạt động đáng ngờ, vì vậy log này cần được giám sát chặt chẽ. Quản trị viên cần điều tra kỹ lưỡng mỗi khi có sự kiện xóa nhật ký kiểm toán xảy ra để đảm bảo rằng hệ thống không bị xâm phạm.

65. EventID 4624: An account was successfully logged on (Tài khoản đã đăng nhập thành công)

  • Nguồn: Security

  • Mô tả: Log này ghi lại sự kiện khi một tài khoản người dùng hoặc dịch vụ đăng nhập thành công vào hệ thống. Thông tin ghi lại bao gồm tài khoản nào đã đăng nhập, máy tính từ đó nỗ lực đăng nhập được thực hiện, và thời gian của sự kiện.

  • Sử dụng: Đây là một log quan trọng để giám sát bảo mật, giúp quản trị viên theo dõi các lần đăng nhập thành công và đảm bảo rằng các hoạt động đăng nhập không gây ra mối đe dọa bảo mật cho hệ thống.

66. EventID 4625: An account failed to log on (Tài khoản đăng nhập không thành công)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận các sự kiện khi một nỗ lực đăng nhập vào hệ thống không thành công. Điều này có thể xảy ra vì nhiều lý do như nhập sai mật khẩu, tài khoản bị khóa, hoặc tài khoản không có quyền truy cập.

  • Sử dụng: Log này rất quan trọng trong việc bảo vệ an ninh hệ thống, giúp quản trị viên phát hiện các nỗ lực truy cập trái phép hoặc các cuộc tấn công brute-force (thử mật khẩu liên tục).

67. EventID 4634: Successful Logoff (Đăng xuất thành công)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một tài khoản đăng xuất thành công khỏi hệ thống. Đây là dấu hiệu cho thấy phiên làm việc của tài khoản đó đã kết thúc.

  • Sử dụng: Giám sát log này giúp quản trị viên kiểm soát việc đăng nhập và đăng xuất của các tài khoản trên hệ thống, đảm bảo rằng các phiên làm việc kết thúc đúng cách mà không có vấn đề gì.

68. EventID 4647: User initiated logoff (Người dùng khởi tạo đăng xuất)

  • Nguồn: Security

  • Mô tả: Log này ghi lại sự kiện khi người dùng tự mình khởi tạo quá trình đăng xuất khỏi hệ thống. Điều này khác với EventID 4634, vốn ghi nhận mọi sự kiện đăng xuất, trong khi log này tập trung vào việc đăng xuất do người dùng thực hiện.

  • Sử dụng: Log này giúp quản trị viên theo dõi hoạt động của người dùng, đảm bảo rằng việc đăng xuất được thực hiện một cách chủ động và đúng lúc, tránh việc bỏ phiên làm việc mở có thể dẫn đến rủi ro bảo mật.

69. EventID 4648: Runas (Chạy với quyền cao hơn)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một người dùng cố gắng thực thi một chương trình hoặc lệnh với quyền của tài khoản khác, thông qua cơ chế "Runas". Điều này thường được sử dụng để thực thi các lệnh với quyền quản trị.

  • Sử dụng: Giám sát các sự kiện Runas giúp quản trị viên xác định khi nào người dùng đang cố gắng sử dụng quyền cao hơn để thực hiện các hành động, giúp ngăn chặn việc lạm dụng quyền hạn hoặc các hành động không hợp lệ.

70. EventID 4648: Logon specifying alternate credentials – if NLA enabled on destination (Đăng nhập với thông tin xác thực thay thế – nếu NLA được bật trên đích)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận sự kiện khi một phiên đăng nhập sử dụng thông tin xác thực khác với tài khoản hiện tại của người dùng, đặc biệt khi sử dụng Network Level Authentication (NLA) trong quá trình kết nối đến một máy chủ.

  • Sử dụng: Quản trị viên sử dụng log này để theo dõi và kiểm soát các phiên đăng nhập sử dụng thông tin xác thực thay thế, nhằm đảm bảo rằng không có nỗ lực truy cập trái phép nào xảy ra.

71. EventID 4656: A handle to an object was requested (Một handle tới một đối tượng đã được yêu cầu)

  • Nguồn: Security

  • Mô tả: Log này ghi lại sự kiện khi một tiến trình hoặc người dùng yêu cầu một handle (một loại tham chiếu) tới một đối tượng trong hệ thống, chẳng hạn như tệp, khóa Registry, hoặc các đối tượng bảo mật khác. Thông tin bao gồm tên của đối tượng, quyền truy cập yêu cầu, và người yêu cầu.

  • Sử dụng: Giám sát sự kiện này rất quan trọng để phát hiện các hoạt động truy cập đối tượng tiềm ẩn rủi ro hoặc trái phép, giúp ngăn ngừa các hành động có thể gây hại cho hệ thống hoặc dữ liệu.

72. EventID 4657: A registry value was modified (Giá trị Registry đã được sửa đổi)

  • Nguồn: Security

  • Mô tả: Log này ghi lại sự kiện khi một giá trị trong Windows Registry bị sửa đổi. Thông tin ghi lại bao gồm khóa Registry bị ảnh hưởng, giá trị cũ và giá trị mới.

  • Sử dụng: Giám sát các sự kiện thay đổi Registry rất quan trọng để phát hiện các thay đổi trái phép hoặc bất thường, có thể là dấu hiệu của malware hoặc hành vi độc hại nhằm thay đổi cấu hình hệ thống.

73. EventID 4660: An object was deleted (Một đối tượng đã bị xóa)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một đối tượng trên hệ thống, chẳng hạn như tệp hoặc mục Registry, bị xóa. Thông tin bao gồm tên của đối tượng và người đã xóa đối tượng.

  • Sử dụng: Việc giám sát các sự kiện xóa đối tượng giúp đảm bảo rằng không có dữ liệu quan trọng hoặc cấu hình hệ thống bị xóa mà không có sự cho phép.

74. EventID 4661: A handle to an object was requested (Một handle tới một đối tượng đã được yêu cầu)

  • Nguồn: Security

  • Mô tả: Tương tự với EventID 4656, log này ghi lại các yêu cầu handle tới các đối tượng bảo mật trên hệ thống. Điều này bao gồm các yêu cầu truy cập tệp, thư mục, hoặc các tài nguyên khác.

  • Sử dụng: Quản trị viên sử dụng log này để theo dõi các hoạt động truy cập tài nguyên hệ thống, đảm bảo rằng không có sự truy cập trái phép vào các đối tượng quan trọng.

75. EventID 4662: An operation was performed on an object (Một thao tác đã được thực hiện trên một đối tượng)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một thao tác, chẳng hạn như đọc, ghi, hoặc thay đổi, được thực hiện trên một đối tượng trong hệ thống. Thông tin bao gồm tên của đối tượng, loại thao tác và ai đã thực hiện thao tác đó.

  • Sử dụng: Giám sát sự kiện này giúp phát hiện các thao tác trái phép hoặc không mong muốn trên các đối tượng quan trọng, bảo vệ hệ thống khỏi các hành động có thể gây hại.

76. EventID 4663: An attempt was made to access an object (Có một nỗ lực truy cập đối tượng)

  • Nguồn: Security

  • Mô tả: Log này ghi lại khi có một nỗ lực truy cập vào một đối tượng trong hệ thống, dù truy cập đó có thành công hay không. Điều này bao gồm các nỗ lực đọc, ghi hoặc thực hiện các thao tác khác trên đối tượng.

  • Sử dụng: Quản trị viên cần giám sát sự kiện này để phát hiện các nỗ lực truy cập trái phép, đặc biệt là khi các nỗ lực này nhắm vào các đối tượng bảo mật nhạy cảm.

77. EventID 4670: Permissions on an object were changed (Quyền trên một đối tượng đã bị thay đổi)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi quyền truy cập trên một đối tượng trong hệ thống bị thay đổi. Thông tin bao gồm đối tượng bị ảnh hưởng và các quyền mới được thiết lập.

  • Sử dụng: Giám sát các thay đổi quyền truy cập là cần thiết để bảo vệ hệ thống khỏi các hành vi trái phép hoặc cấu hình sai lệch, đảm bảo rằng các quyền trên đối tượng luôn đúng với yêu cầu bảo mật.

78. EventID 4672: Special privileges assigned to new logon (Đặc quyền đặc biệt được gán cho phiên đăng nhập mới)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một phiên đăng nhập mới được gán các đặc quyền đặc biệt, thường là các quyền admin hoặc quyền hệ thống. Thông tin bao gồm tài khoản đã nhận các đặc quyền này và loại đặc quyền được gán.

  • Sử dụng: Việc giám sát sự kiện này rất quan trọng để đảm bảo rằng chỉ những người dùng hoặc dịch vụ được ủy quyền mới nhận được các đặc quyền cao, ngăn ngừa việc lạm dụng quyền lực trong hệ thống.

79. EventID 4688: A new process has been created (Một tiến trình mới đã được tạo)

  • Nguồn: Security

  • Mô tả: Log này ghi lại khi một tiến trình mới được khởi động trên hệ thống. Thông tin bao gồm tên của tiến trình, ID của tiến trình, và người dùng hoặc dịch vụ đã khởi động tiến trình đó.

  • Sử dụng: Giám sát sự kiện này giúp quản trị viên phát hiện các tiến trình không mong muốn hoặc đáng ngờ, có thể là dấu hiệu của malware hoặc các hoạt động độc hại khác.

80. EventID 4689: A process has exited (Một tiến trình đã kết thúc)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một tiến trình trên hệ thống kết thúc. Thông tin bao gồm tên của tiến trình và ID của nó.

  • Sử dụng: Việc theo dõi các tiến trình kết thúc giúp đảm bảo rằng các tiến trình quan trọng không bị dừng đột ngột hoặc bởi các nguyên nhân không mong muốn, đảm bảo tính ổn định của hệ thống.

81. EventID 4697: Attempt to install a service (Cố gắng cài đặt một dịch vụ)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận sự kiện khi có một nỗ lực cài đặt một dịch vụ mới trên hệ thống. Dịch vụ (service) trong Windows là các chương trình chạy ngầm, cung cấp các chức năng hệ thống hoặc ứng dụng liên tục.

  • Sử dụng: Giám sát log này giúp quản trị viên phát hiện và ngăn chặn các dịch vụ không mong muốn hoặc độc hại được cài đặt trên hệ thống, bảo vệ tính toàn vẹn và bảo mật của hệ thống.

82. EventID 4698: A scheduled task was created (Một tác vụ được lập lịch đã được tạo)

  • Nguồn: Security

  • Mô tả: Log này ghi lại sự kiện khi một tác vụ mới được lập lịch trong Task Scheduler của Windows. Task Scheduler cho phép tự động hóa các tác vụ vào thời điểm nhất định hoặc khi xảy ra một sự kiện cụ thể.

  • Sử dụng: Quản trị viên sử dụng log này để theo dõi và kiểm soát việc tạo các tác vụ tự động, đảm bảo rằng không có tác vụ độc hại nào được lập lịch mà không có sự cho phép.

83. EventID 4700: A scheduled task was enabled (Một tác vụ được lập lịch đã được kích hoạt)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một tác vụ lập lịch đã được kích hoạt, nghĩa là nó đã sẵn sàng để chạy theo lịch trình đã định.

  • Sử dụng: Việc giám sát các tác vụ được kích hoạt là quan trọng để đảm bảo rằng chỉ những tác vụ hợp pháp và được phép mới được kích hoạt, ngăn chặn các hoạt động tự động hóa trái phép.

84. EventID 4701: A scheduled task was disabled (Một tác vụ được lập lịch đã bị vô hiệu hóa)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một tác vụ lập lịch đã bị vô hiệu hóa, nghĩa là nó sẽ không còn được thực thi theo lịch trình nữa.

  • Sử dụng: Giám sát các tác vụ bị vô hiệu hóa giúp quản trị viên đảm bảo rằng các tác vụ quan trọng không bị tắt trái phép, giữ cho hệ thống hoạt động đúng cách.

85. EventID 4702: A scheduled task was updated (Một tác vụ được lập lịch đã được cập nhật)

  • Nguồn: Security

  • Mô tả: Log này ghi lại sự kiện khi một tác vụ lập lịch được cập nhật, bao gồm các thay đổi về thời gian thực hiện, hành động thực hiện, hoặc các tham số khác liên quan đến tác vụ.

  • Sử dụng: Việc giám sát các thay đổi đối với tác vụ lập lịch rất quan trọng để đảm bảo rằng các tác vụ không bị chỉnh sửa một cách trái phép, tránh gây ra các hành động không mong muốn.

86. EventID 4717: System security access was granted to an account (Quyền truy cập bảo mật hệ thống đã được cấp cho một tài khoản)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một tài khoản người dùng hoặc dịch vụ được cấp quyền truy cập bảo mật hệ thống. Điều này thường liên quan đến việc cấp quyền cho các tài khoản để thực hiện các thao tác nhạy cảm hoặc quản lý hệ thống.

  • Sử dụng: Quản trị viên cần giám sát log này để đảm bảo rằng chỉ những tài khoản được ủy quyền mới nhận được quyền truy cập hệ thống, ngăn chặn việc lạm dụng quyền hạn.

87. EventID 4718: System security access was removed from an account (Quyền truy cập bảo mật hệ thống đã bị loại bỏ khỏi một tài khoản)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một tài khoản bị thu hồi quyền truy cập bảo mật hệ thống, nghĩa là tài khoản đó không còn quyền thực hiện các thao tác nhạy cảm hoặc quản lý hệ thống nữa.

  • Sử dụng: Giám sát sự kiện này giúp quản trị viên đảm bảo rằng các quyền hạn hệ thống được kiểm soát chặt chẽ và không có tài khoản nào giữ quyền không cần thiết hoặc vượt quá phạm vi công việc.

88. EventID 4720: A user account was created (Một tài khoản người dùng đã được tạo)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một tài khoản người dùng mới được tạo trên hệ thống. Thông tin bao gồm tên tài khoản, ai đã tạo tài khoản, và thời gian tạo.

  • Sử dụng: Quản trị viên cần theo dõi log này để kiểm soát việc tạo tài khoản mới, đảm bảo rằng chỉ những tài khoản hợp pháp và cần thiết mới được thêm vào hệ thống.

89. EventID 4722: A user account was enabled (Một tài khoản người dùng đã được kích hoạt)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một tài khoản người dùng bị vô hiệu hóa trước đó được kích hoạt lại, nghĩa là tài khoản đó có thể đăng nhập và sử dụng hệ thống trở lại.

  • Sử dụng: Giám sát sự kiện này giúp đảm bảo rằng chỉ những tài khoản cần thiết và hợp pháp mới được kích hoạt, ngăn chặn việc tái sử dụng tài khoản cũ không mong muốn hoặc không được phép.

90. EventID 4724: An attempt was made to reset an account’s password (Một nỗ lực thay đổi mật khẩu tài khoản đã được thực hiện)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi có một nỗ lực thay đổi mật khẩu của một tài khoản người dùng trên hệ thống. Điều này có thể do người dùng tự thực hiện hoặc do quản trị viên.

  • Sử dụng: Việc giám sát log này rất quan trọng để phát hiện các nỗ lực thay đổi mật khẩu trái phép, giúp bảo vệ tài khoản người dùng khỏi các hành vi truy cập trái phép.

Chúng ta sẽ tiếp tục với các log tiếp theo:

91. EventID 4726: An account was deleted (Một tài khoản đã bị xóa)

  • Nguồn: Security

  • Mô tả: Log này ghi lại sự kiện khi một tài khoản người dùng bị xóa khỏi hệ thống. Thông tin bao gồm tên tài khoản đã bị xóa, ai đã thực hiện thao tác xóa và thời gian xóa.

  • Sử dụng: Giám sát log này giúp quản trị viên kiểm soát việc xóa tài khoản, đảm bảo rằng các tài khoản chỉ bị xóa khi thực sự cần thiết và không có sự xóa bỏ trái phép.

92. EventID 4728: A member was added to a security-enabled global group (Một thành viên đã được thêm vào nhóm toàn cầu có bảo mật kích hoạt)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một người dùng hoặc tài khoản được thêm vào một nhóm toàn cầu có bảo mật kích hoạt. Nhóm này có thể có quyền truy cập và kiểm soát đáng kể trong hệ thống.

  • Sử dụng: Việc giám sát sự kiện này là rất quan trọng để đảm bảo rằng chỉ những người dùng được ủy quyền mới được thêm vào các nhóm có quyền hạn cao, ngăn ngừa việc lạm dụng quyền lực trong hệ thống.

93. EventID 4729: A member was removed from a security-enabled global group (Một thành viên đã bị xóa khỏi nhóm toàn cầu có bảo mật kích hoạt)

  • Nguồn: Security

  • Mô tả: Log này ghi lại khi một thành viên bị loại bỏ khỏi một nhóm toàn cầu có bảo mật kích hoạt. Điều này có thể ảnh hưởng đến quyền truy cập của người dùng hoặc tài khoản đó trong hệ thống.

  • Sử dụng: Giám sát log này giúp quản trị viên đảm bảo rằng việc thay đổi thành viên trong các nhóm bảo mật được thực hiện một cách chính xác và không có sự giảm quyền truy cập trái phép.

94. EventID 4732: A member was added to a security-enabled local group (Một thành viên đã được thêm vào nhóm cục bộ có bảo mật kích hoạt)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận sự kiện khi một thành viên mới được thêm vào một nhóm bảo mật cục bộ. Các nhóm cục bộ thường có quyền hạn và truy cập hạn chế trong phạm vi máy tính hoặc hệ thống cục bộ.

  • Sử dụng: Việc theo dõi sự kiện này giúp quản trị viên kiểm soát quyền truy cập và bảo mật ở cấp độ cục bộ, đảm bảo rằng chỉ những người dùng được ủy quyền mới được thêm vào các nhóm quan trọng.

95. EventID 4733: A member was removed from a security-enabled local group (Một thành viên đã bị xóa khỏi nhóm cục bộ có bảo mật kích hoạt)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một thành viên bị loại bỏ khỏi một nhóm bảo mật cục bộ, ảnh hưởng đến quyền truy cập và các quyền hạn của người dùng đó trên hệ thống cục bộ.

  • Sử dụng: Giám sát sự kiện này giúp đảm bảo rằng việc thay đổi thành viên trong các nhóm bảo mật cục bộ được thực hiện đúng cách và không ảnh hưởng đến hoạt động hoặc bảo mật của hệ thống.

96. EventID 4735: A security-enabled local group was changed (Một nhóm cục bộ có bảo mật kích hoạt đã bị thay đổi)

  • Nguồn: Security

  • Mô tả: Log này ghi lại khi cấu hình của một nhóm bảo mật cục bộ bị thay đổi. Thay đổi này có thể bao gồm việc thêm hoặc xóa thành viên, hoặc thay đổi các quyền truy cập của nhóm.

  • Sử dụng: Việc giám sát log này rất quan trọng để đảm bảo rằng các nhóm bảo mật cục bộ được quản lý chặt chẽ, ngăn ngừa các thay đổi trái phép hoặc cấu hình sai lệch có thể gây rủi ro bảo mật.

97. EventID 4737: A security-enabled global group was changed (Một nhóm toàn cầu có bảo mật kích hoạt đã bị thay đổi)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một nhóm toàn cầu có bảo mật kích hoạt bị thay đổi. Điều này có thể bao gồm việc sửa đổi thành viên, quyền truy cập, hoặc các chính sách liên quan đến nhóm.

  • Sử dụng: Giám sát sự kiện này giúp quản trị viên kiểm soát chặt chẽ việc quản lý nhóm toàn cầu, đảm bảo rằng các thay đổi không làm suy yếu bảo mật hoặc gây rủi ro cho hệ thống.

98. EventID 4738: A user account was changed (Một tài khoản người dùng đã bị thay đổi)

  • Nguồn: Security

  • Mô tả: Log này ghi lại khi một tài khoản người dùng bị thay đổi. Thay đổi này có thể bao gồm mật khẩu, thông tin hồ sơ, hoặc các thuộc tính bảo mật của tài khoản.

  • Sử dụng: Giám sát log này giúp quản trị viên đảm bảo rằng các thay đổi đối với tài khoản người dùng được thực hiện hợp pháp và không có sự xâm phạm hoặc lạm dụng quyền hạn.

99. EventID 4742: A computer account was changed (Một tài khoản máy tính đã bị thay đổi)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một tài khoản máy tính (Computer Account) trên hệ thống bị thay đổi. Thay đổi này có thể ảnh hưởng đến cách máy tính tương tác với các tài nguyên mạng hoặc các dịch vụ khác.

  • Sử dụng: Việc giám sát sự kiện này là cần thiết để đảm bảo rằng các tài khoản máy tính không bị thay đổi trái phép, giúp duy trì sự ổn định và an toàn của mạng và các dịch vụ liên quan.

100. EventID 4756: A member was added to a security-enabled universal group (Một thành viên đã được thêm vào nhóm toàn cầu có bảo mật kích hoạt)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một thành viên mới được thêm vào một nhóm bảo mật toàn cầu, có thể có quyền truy cập trên nhiều hệ thống hoặc tài nguyên khác nhau trong môi trường mạng.

  • Sử dụng: Giám sát sự kiện này giúp quản trị viên đảm bảo rằng chỉ những người dùng được ủy quyền mới được thêm vào các nhóm toàn cầu có quyền hạn cao, ngăn ngừa các rủi ro bảo mật tiềm tàng.

Chúng ta sẽ tiếp tục với các EventID còn lại:

101. EventID 4767: A user account was unlocked (Một tài khoản người dùng đã được mở khóa)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một tài khoản người dùng bị khóa trước đó được mở khóa. Điều này thường xảy ra sau khi người dùng bị khóa do quá nhiều lần nhập sai mật khẩu hoặc do chính sách bảo mật khác.

  • Sử dụng: Giám sát sự kiện này giúp quản trị viên đảm bảo rằng việc mở khóa tài khoản chỉ được thực hiện khi cần thiết và bởi những người có quyền, ngăn ngừa việc truy cập trái phép.

102. EventID 4768: A Kerberos authentication ticket (TGT) was requested (Một vé xác thực Kerberos (TGT) đã được yêu cầu)

  • Nguồn: Security

  • Mô tả: Log này ghi lại khi một tài khoản yêu cầu một vé xác thực Kerberos Ticket Granting Ticket (TGT). Đây là bước đầu tiên trong quy trình xác thực Kerberos, cho phép tài khoản nhận vé dịch vụ để truy cập tài nguyên.

  • Sử dụng: Quản trị viên có thể sử dụng log này để giám sát và phân tích các yêu cầu xác thực Kerberos, đảm bảo rằng quy trình xác thực diễn ra an toàn và không có dấu hiệu xâm nhập.

103. EventID 4769: A Kerberos service ticket was requested (Một vé dịch vụ Kerberos đã được yêu cầu)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một vé dịch vụ Kerberos được yêu cầu. Vé này cho phép tài khoản truy cập vào một dịch vụ cụ thể sau khi đã được xác thực.

  • Sử dụng: Giám sát các yêu cầu vé dịch vụ giúp đảm bảo rằng việc truy cập vào các dịch vụ được thực hiện bởi các tài khoản đã được xác thực và không có sự lạm dụng hoặc xâm phạm quyền truy cập.

104. EventID 4770: A Kerberos service ticket was renewed (Một vé dịch vụ Kerberos đã được gia hạn)

  • Nguồn: Security

  • Mô tả: Log này ghi lại sự kiện khi một vé dịch vụ Kerberos được gia hạn, cho phép tài khoản tiếp tục sử dụng dịch vụ mà không cần phải yêu cầu vé mới từ đầu.

  • Sử dụng: Việc giám sát sự kiện này giúp quản trị viên đảm bảo rằng quá trình gia hạn vé dịch vụ diễn ra một cách hợp pháp và an toàn, không có dấu hiệu của sự xâm nhập hoặc lạm dụng vé.

105. EventID 4771: Kerberos pre-authentication failed (Xác thực trước Kerberos thất bại)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi quá trình xác thực trước của Kerberos thất bại, thường do nhập sai mật khẩu hoặc các vấn đề liên quan đến đồng bộ thời gian giữa client và máy chủ.

  • Sử dụng: Giám sát log này giúp quản trị viên phát hiện các nỗ lực đăng nhập không thành công, có thể là dấu hiệu của một cuộc tấn công brute-force hoặc các vấn đề kỹ thuật cần được giải quyết.

106. EventID 4772: A Kerberos authentication ticket request failed (Yêu cầu vé xác thực Kerberos thất bại)

  • Nguồn: Security

  • Mô tả: Log này ghi lại sự kiện khi một yêu cầu vé xác thực Kerberos không thành công. Điều này có thể do nhiều lý do, bao gồm thông tin xác thực không hợp lệ hoặc tài khoản không có quyền yêu cầu vé.

  • Sử dụng: Quản trị viên sử dụng log này để phát hiện và xử lý các vấn đề liên quan đến xác thực Kerberos, đảm bảo rằng không có yêu cầu truy cập trái phép nào được thực hiện.

107. EventID 4773: A Kerberos service ticket request failed (Yêu cầu vé dịch vụ Kerberos thất bại)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một yêu cầu vé dịch vụ Kerberos thất bại. Nguyên nhân có thể bao gồm thông tin xác thực không hợp lệ hoặc lỗi trong quá trình xác thực.

  • Sử dụng: Việc giám sát log này giúp đảm bảo rằng các vấn đề với Kerberos được phát hiện và xử lý kịp thời, ngăn chặn các cuộc tấn công hoặc lỗi hệ thống.

108. EventID 4776: The domain controller attempted to validate the credentials for an account (Domain controller cố gắng xác thực thông tin đăng nhập cho một tài khoản)

  • Nguồn: Security

  • Mô tả: Log này ghi lại sự kiện khi Domain Controller (máy chủ quản lý miền) cố gắng xác thực thông tin đăng nhập của một tài khoản. Điều này thường xảy ra khi một tài khoản cố gắng đăng nhập vào hệ thống và cần được xác thực bởi DC.

  • Sử dụng: Giám sát sự kiện này giúp quản trị viên xác định các nỗ lực đăng nhập, đảm bảo rằng chỉ những tài khoản hợp pháp mới được xác thực và cấp quyền truy cập.

109. EventID 4788: Session Reconnected (Phiên đã được kết nối lại)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một phiên làm việc đã bị ngắt kết nối trước đó được kết nối lại. Điều này có thể xảy ra trong các phiên Remote Desktop hoặc khi người dùng quay lại phiên làm việc sau một thời gian không hoạt động.

  • Sử dụng: Quản trị viên sử dụng log này để theo dõi hoạt động của người dùng và đảm bảo rằng các phiên làm việc được quản lý đúng cách, ngăn chặn các truy cập trái phép hoặc không hợp lệ.

110. EventID 4789: Session Disconnected (Phiên đã bị ngắt kết nối)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một phiên làm việc bị ngắt kết nối. Điều này có thể do người dùng tự ngắt kết nối hoặc do mất kết nối mạng.

  • Sử dụng: Giám sát sự kiện này giúp quản trị viên đảm bảo rằng các phiên làm việc không bị ngắt kết nối bất thường hoặc không mong muốn, bảo vệ tính toàn vẹn của các phiên làm việc.

111. EventID 4798: A user's local group membership was enumerated (Thành viên nhóm cục bộ của người dùng đã được liệt kê)

  • Nguồn: Security

  • Mô tả: Log này ghi lại khi các thành viên của một nhóm cục bộ được liệt kê. Điều này thường xảy ra khi một người dùng hoặc dịch vụ cần kiểm tra các quyền hoặc thành viên của một nhóm cụ thể.

  • Sử dụng: Giám sát sự kiện này giúp quản trị viên theo dõi các hoạt động liên quan đến quyền và nhóm, đảm bảo rằng không có sự truy cập hoặc liệt kê trái phép xảy ra.

112. EventID 4799: A security-enabled local group membership was enumerated (Thành viên nhóm cục bộ có bảo mật kích hoạt đã được liệt kê)

  • Nguồn: Security

  • Mô tả: Tương tự như EventID 4798, log này ghi nhận khi các thành viên của một nhóm cục bộ có bảo mật kích hoạt được liệt kê. Điều này có thể là một phần của quá trình kiểm tra bảo mật hoặc cấu hình hệ thống.

  • Sử dụng: Quản trị viên cần giám sát log này để đảm bảo rằng việc liệt kê thành viên của các nhóm bảo mật chỉ được thực hiện bởi những người dùng hoặc dịch vụ được phép.

Chúng ta sẽ tiếp tục với các EventID còn lại:

113. EventID 4950: A Windows Firewall setting has changed (Một thiết lập Windows Firewall đã bị thay đổi)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi có một thay đổi được thực hiện đối với cấu hình của Windows Firewall. Thay đổi này có thể bao gồm việc thêm, xóa hoặc sửa đổi các quy tắc firewall, hoặc thay đổi trạng thái của firewall.

  • Sử dụng: Giám sát sự kiện này rất quan trọng để đảm bảo rằng các thiết lập firewall không bị thay đổi trái phép, đảm bảo rằng hệ thống vẫn được bảo vệ khỏi các cuộc tấn công mạng.

114. EventID 4954: Windows Firewall Group Policy settings have changed. The new settings have been applied. (Cài đặt chính sách nhóm của Windows Firewall đã thay đổi. Các cài đặt mới đã được áp dụng)

  • Nguồn: Security

  • Mô tả: Log này ghi lại khi cài đặt chính sách nhóm liên quan đến Windows Firewall bị thay đổi và các thay đổi này đã được áp dụng. Điều này có thể xảy ra khi một chính sách mới được triển khai qua Group Policy.

  • Sử dụng: Việc giám sát log này giúp quản trị viên đảm bảo rằng các thay đổi chính sách được kiểm soát và không gây ra bất kỳ lỗ hổng bảo mật nào trong hệ thống.

115. EventID 4957: Windows Firewall did not apply the following rule (Windows Firewall đã không áp dụng quy tắc sau)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi Windows Firewall không thể áp dụng một quy tắc cụ thể nào đó. Điều này có thể do xung đột với các quy tắc hiện có hoặc lỗi cấu hình.

  • Sử dụng: Giám sát log này giúp quản trị viên phát hiện các vấn đề trong cấu hình firewall, đảm bảo rằng tất cả các quy tắc bảo mật đều được áp dụng đúng cách và không gây ra lỗ hổng bảo mật.

116. EventID 5136: A directory service object was modified (Một đối tượng dịch vụ thư mục đã bị thay đổi)

  • Nguồn: Security

  • Mô tả: Log này ghi lại khi một đối tượng trong dịch vụ thư mục (Directory Service) như Active Directory bị thay đổi. Thông tin bao gồm chi tiết về đối tượng bị thay đổi và bản chất của sự thay đổi đó.

  • Sử dụng: Việc giám sát log này rất quan trọng để đảm bảo rằng các thay đổi đối với cấu trúc thư mục chỉ được thực hiện bởi những người có thẩm quyền, ngăn ngừa việc cấu hình sai hoặc thay đổi trái phép.

117. EventID 5137: A directory service object was created (Một đối tượng dịch vụ thư mục đã được tạo)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một đối tượng mới được tạo trong dịch vụ thư mục, chẳng hạn như một tài khoản người dùng mới, nhóm hoặc đơn vị tổ chức (OU).

  • Sử dụng: Giám sát sự kiện này giúp quản trị viên kiểm soát việc tạo mới các đối tượng trong thư mục, đảm bảo rằng các đối tượng mới được tạo ra phù hợp với chính sách bảo mật của tổ chức.

118. EventID 5138: A directory service object was undeleted (Một đối tượng dịch vụ thư mục đã được khôi phục từ trạng thái xóa)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một đối tượng đã bị xóa khỏi dịch vụ thư mục được khôi phục. Điều này thường xảy ra khi một đối tượng bị xóa do lỗi và sau đó được khôi phục để khôi phục dữ liệu hoặc cấu hình.

  • Sử dụng: Việc giám sát log này giúp đảm bảo rằng các đối tượng chỉ được khôi phục khi cần thiết và bởi những người có thẩm quyền, ngăn chặn việc khôi phục trái phép hoặc không mong muốn.

119. EventID 5139: A directory service object was moved (Một đối tượng dịch vụ thư mục đã bị di chuyển)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một đối tượng trong dịch vụ thư mục bị di chuyển từ vị trí này sang vị trí khác, chẳng hạn như từ một OU này sang OU khác trong Active Directory.

  • Sử dụng: Quản trị viên sử dụng log này để theo dõi các thay đổi vị trí của các đối tượng quan trọng, đảm bảo rằng việc di chuyển này không làm ảnh hưởng đến cấu trúc thư mục hoặc gây ra rủi ro bảo mật.

120. EventID 5140: A network share object was accessed (Một đối tượng chia sẻ mạng đã được truy cập)

  • Nguồn: Security

  • Mô tả: Log này ghi lại khi một đối tượng chia sẻ mạng (network share) được truy cập. Điều này bao gồm các tài nguyên như thư mục hoặc tệp được chia sẻ qua mạng.

  • Sử dụng: Giám sát log này giúp quản trị viên theo dõi việc truy cập các tài nguyên mạng, đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập vào các chia sẻ mạng quan trọng.

121. EventID 5141: A directory service object was deleted (Một đối tượng dịch vụ thư mục đã bị xóa)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một đối tượng trong dịch vụ thư mục bị xóa. Điều này có thể bao gồm tài khoản người dùng, nhóm hoặc các đối tượng khác trong Active Directory.

  • Sử dụng: Giám sát log này rất quan trọng để đảm bảo rằng không có đối tượng quan trọng nào bị xóa mà không có sự cho phép, ngăn ngừa mất mát dữ liệu hoặc cấu hình quan trọng.

122. EventID 5145: A network share object was checked to see whether client can be granted desired access (Một đối tượng chia sẻ mạng đã được kiểm tra xem liệu có thể cấp quyền truy cập mong muốn cho client hay không)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một yêu cầu truy cập đối tượng chia sẻ mạng được kiểm tra để xác định xem người dùng có quyền truy cập mong muốn hay không.

  • Sử dụng: Giám sát log này giúp quản trị viên đảm bảo rằng các yêu cầu truy cập vào chia sẻ mạng được xử lý đúng cách, và chỉ những người dùng có quyền hạn mới có thể truy cập vào các tài nguyên được chia sẻ.

123. EventID 6416: A new external device was recognized by the system (Một thiết bị ngoại vi mới đã được hệ thống nhận diện)

  • Nguồn: Security

  • Mô tả: Log này ghi nhận khi một thiết bị ngoại vi mới, chẳng hạn như USB, ổ cứng ngoài hoặc thiết bị mạng, được kết nối và nhận diện bởi hệ thống.

  • Sử dụng: Quản trị viên sử dụng log này để theo dõi và kiểm soát việc kết nối các thiết bị ngoại vi mới, đảm bảo rằng không có thiết bị không được phép kết nối vào hệ thống, bảo vệ chống lại các rủi ro bảo mật từ thiết bị ngoại vi.

124. EventID 104: Audit log cleared (Nhật ký kiểm toán đã bị xóa)

  • Nguồn: System

  • Mô tả: Log này ghi lại sự kiện khi nhật ký kiểm toán của hệ thống bị xóa hoặc xóa trống. Đây là một hành động quan trọng, thường chỉ được thực hiện bởi quản trị viên có quyền cao.

  • Sử dụng: Giám sát sự kiện này giúp quản trị viên phát hiện các hoạt động xóa nhật ký có thể là dấu hiệu của hành vi đáng ngờ hoặc tấn công mạng, và đảm bảo rằng dữ liệu kiểm toán quan trọng không bị xóa trái phép.

125. EventID 7040: Start type changed (Kiểu khởi động đã thay đổi)

  • Nguồn: System

  • Mô tả: Log này ghi nhận khi kiểu khởi động của một dịch vụ trên hệ thống Windows bị thay đổi, ví dụ từ tự động sang thủ công hoặc vô hiệu hóa.

  • Sử dụng: Quản trị viên cần giám sát log này để đảm bảo rằng các thay đổi trong kiểu khởi động dịch vụ chỉ được thực hiện bởi những người có thẩm quyền và không gây ra rủi ro cho hệ thống.

126. EventID 7045: New Service was installed (Dịch vụ mới đã được cài đặt)

  • Nguồn: System

  • Mô tả: Log này ghi lại sự kiện khi một dịch vụ mới được cài đặt trên hệ thống Windows. Dịch vụ này có thể là một phần của ứng dụng mới hoặc một thành phần hệ thống.

  • Sử dụng: Giám sát log này giúp quản trị viên kiểm soát việc cài đặt dịch vụ mới, đảm bảo rằng chỉ các dịch vụ hợp lệ mới được cài đặt và không có dịch vụ độc hại nào được thêm vào hệ thống mà không có sự cho phép.

127. EventID 400: Remote session start / end (Bắt đầu / kết thúc phiên từ xa)

  • Nguồn: Windows Powershell

  • Mô tả: Log này ghi nhận khi một phiên làm việc từ xa qua PowerShell được bắt đầu hoặc kết thúc. Phiên từ xa này có thể được khởi tạo để quản lý hệ thống từ xa hoặc chạy các tập lệnh tự động.

  • Sử dụng: Quản trị viên sử dụng log này để theo dõi hoạt động từ xa qua PowerShell, đảm bảo rằng chỉ những phiên từ xa hợp lệ và được phép mới được thực hiện.

128. EventID 403: Remote session start / end (Bắt đầu / kết thúc phiên từ xa)

  • Nguồn: Windows Powershell

  • Mô tả: Tương tự như EventID 400, log này ghi nhận các sự kiện bắt đầu hoặc kết thúc một phiên làm việc từ xa qua PowerShell. Điều này giúp theo dõi việc truy cập và quản lý hệ thống từ xa.

  • Sử dụng: Log này rất hữu ích trong việc kiểm soát và giám sát các hoạt động quản trị từ xa, giúp bảo vệ hệ thống khỏi các phiên từ xa trái phép hoặc không mong muốn.

129. EventID 800: Partial script contents (Nội dung kịch bản một phần)

  • Nguồn: Windows Powershell

  • Mô tả: Log này ghi lại nội dung một phần của một tập lệnh PowerShell được thực thi trên hệ thống. Đây là một tính năng bảo mật của PowerShell để giúp theo dõi và kiểm tra các lệnh và kịch bản được chạy.

  • Sử dụng: Quản trị viên sử dụng log này để kiểm tra nội dung của các tập lệnh PowerShell đã được thực thi, đảm bảo rằng không có lệnh độc hại hoặc không mong muốn nào được chạy trên hệ thống.

130. EventID 4103: This event is logged when a command is invoked, this event should always be monitored (Sự kiện này được ghi lại khi một lệnh được gọi, sự kiện này nên luôn được giám sát)

  • Nguồn: Microsoft-Windows-PowerShell/Operational

  • Mô tả: Log này ghi nhận mỗi khi một lệnh PowerShell được thực thi. Đây là một sự kiện quan trọng, cung cấp thông tin về các hoạt động đã diễn ra trong môi trường PowerShell.

  • Sử dụng: Giám sát log này là cần thiết để đảm bảo rằng chỉ những lệnh hợp pháp mới được thực thi, giúp phát hiện các hành động đáng ngờ hoặc trái phép.

131. EventID 4104: PowerShell logs internal operations from the engine, providers, and cmdlets to the Windows event log (PowerShell ghi lại các hoạt động nội bộ từ engine, providers, và cmdlets vào nhật ký sự kiện Windows)

  • Nguồn: Microsoft-Windows-PowerShell/Operational

  • Mô tả: Log này ghi lại các hoạt động nội bộ của PowerShell, bao gồm các lệnh từ engine, các nhà cung cấp dịch vụ, và các cmdlets. Đây là các thông tin chi tiết hơn về những gì đang diễn ra bên trong môi trường PowerShell.

  • Sử dụng: Quản trị viên sử dụng log này để phân tích và khắc phục sự cố liên quan đến PowerShell, đảm bảo rằng các thao tác thực hiện đúng theo mong đợi và không có rủi ro bảo mật.

Cách bật một số log:

Trong số 131 Event ID mà tôi đã giải thích, một số Event ID cần được bật hoặc yêu cầu cấu hình cụ thể trong Group Policy hoặc Audit Policy của Windows để có thể ghi nhận được. Dưới đây là những Event ID tiêu biểu cần chú ý:

1. EventID 4624, 4625, 4634, 4648, 4672 (Đăng nhập, đăng xuất, và sử dụng quyền đặc biệt)

  • Cần cấu hình:

    • Audit Logon Events: Bật để ghi nhận các sự kiện đăng nhập và đăng xuất của người dùng.

    • Audit Special Logon: Bật để ghi nhận các sự kiện đăng nhập có quyền đặc biệt (như admin).

  • Group Policy:

    • Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy.

2. EventID 4660, 4663, 4670 (Quản lý đối tượng và quyền)

  • Cần cấu hình:

    • Audit Object Access: Bật để theo dõi các nỗ lực truy cập và thay đổi quyền trên các đối tượng bảo mật như tệp, thư mục, hoặc Registry.

  • Group Policy:

    • Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy.

3. EventID 4732, 4733, 4735, 4737, 4728, 4729 (Quản lý nhóm và tài khoản)

  • Cần cấu hình:

    • Audit Account Management: Bật để giám sát các thay đổi đối với tài khoản người dùng và nhóm, như thêm/xóa thành viên khỏi nhóm bảo mật.

  • Group Policy:

    • Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy.

4. EventID 5136, 5137, 5138, 5139 (Thay đổi đối tượng dịch vụ thư mục)

  • Cần cấu hình:

    • Audit Directory Service Access: Bật để theo dõi các thay đổi đối với đối tượng trong Active Directory.

  • Group Policy:

    • Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > DS Access.

5. EventID 1102 (Xóa nhật ký kiểm toán)

  • Cần cấu hình:

    • Audit System Events: Bật để theo dõi các sự kiện hệ thống quan trọng như xóa nhật ký kiểm toán.

  • Group Policy:

    • Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy.

6. EventID 4768, 4769, 4770, 4771, 4776 (Xác thực Kerberos)

  • Cần cấu hình:

    • Audit Kerberos Authentication Service: Bật để giám sát các yêu cầu xác thực và các lỗi liên quan đến Kerberos.

  • Group Policy:

    • Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Logon/Logoff.

7. EventID 4950, 4954, 4957 (Thay đổi cài đặt Windows Firewall)

  • Cần cấu hình:

    • Audit Firewall Policy Change: Bật để giám sát các thay đổi trong cài đặt và chính sách của Windows Firewall.

  • Group Policy:

    • Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Policy Change.

8. EventID 7045 (Cài đặt dịch vụ mới)

  • Cần cấu hình:

    • Audit Security System Extension: Bật để theo dõi các cài đặt dịch vụ mới.

  • Group Policy:

    • Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > System.

9. EventID 4697, 4698, 4699 (Cài đặt và quản lý tác vụ lập lịch)

  • Cần cấu hình:

    • Audit Other Object Access Events: Bật để theo dõi các tác vụ lập lịch mới, thay đổi, và các hành động khác liên quan đến Task Scheduler.

  • Group Policy:

    • Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Object Access.

PreviousLogNextBrowser-C2

Last updated 7 months ago