10 важных событий (event ID) для мониторинга

Рэнди Франклин Смита (CISA, SSCP, Security MVP) рекомендует обратить внимание на 10 важных событий (event IDs) для обеспечения информационной безопасности в Microsoft Windows.

Контроллеры доменов

Event ID — (Категория) — Описание

1) 645, 4771   
(Аудит входа в систему)
Происшествие 657/4771 на контроллере домена обозначает неудачную попытку входа через Kerberos на рабочем компьютере с доменной учетной записью. Как правило причина - не правильный пароль, но по коду ошибки можно узнать почему именно аутентификация неудачна. Смотрите ниже таблицу кодов ошибок Kerberos.

2) 676, Failed 672, 4768
(Аудит входа в систему) 
Происшествие 676/4768 относиться к другим типам неудачной аутентификации. Смотрите ниже таблицу кодов ошибок Kerberos.
Обратите внимание что в Windows 2003 событие отказа вместо 676 записывается как 672.

3) 681, Failed 680, 4776
(Аудит входа в систему) 
Происшествие 675/4776 на контроллере домена говорит о неудачной попытке входа в ОС через
NTLM под доменной учетной записью. Код самой ошибки говорит, почему аутентификация неудача.
Коды ошибок NTLM можно увидеть ниже.
Обратите внимание что в Windows 2003 событие отказа вместо 681 записывается как 680.

4) 642/4738 
(управление учетной записью)
Изменения в учетной записи, такие как активация, деактивация, сброс пароля. Описание уточняется в зависимости  от типа изменения.

5) 636/4732 (локальная); 632/4728 (глобальная); 660/4756 (общая)
( управление учетной записью)
Пользователь добавлен в группу. Обозначены Локальная (Local), Глобальная (Global), Общая (Universal) в зависимости от каждого ID.

6) 624/4720 
(управления учетными записями)
Создана учетная запись

7) 644/4740
(управления учетными записями)
Учетная запись была заблокирована после неудачных попыток входа

8) 517/1102
(системные события)
Пользователь очистил журнал безопасности

Вход/выход (Logon/Logoff)

Event Id — Описание

528/4624 — Удачный вход в систему
529/4625 — Неудачный вход в систему. Неверный пароль или неизвестное имя пользователя
530/4625 — Неудачный вход в систему. Вход не был совершен в течение указаного периода времени
531/4625 — Неудачный вход в систему. Учетная запись пользователя временно деактивирована
532/4625 — Неудачный вход в систему. Срок использования учетной записи пользователя истек
533/4625 — Неудачный вход в систему. Пользователю запрещено входить в систему на указаном компьютере
534/4625/5461 — Неудачный вход. Пользователю запрещен данный тип входа на указаном компьютере
535/4625 — Неудачный вход. Срок действия пароля истек
539/4625 — Неудачный вход. Учетная запись пользователя заблокирована
540/4624 — Успешный вход в систему по сети (Только Windows XP, 2000, 2003)

Типы входов (Logon Types)

Тип входа — Описание

2 — Интерактивный (клавиатура или экран системы)
3 — Сетевой (к примеру подключение по сети к расшареной папке компьютера или IIS вход)
4 — Пакет (batch) (запланированная задача, например)
5 — Служба (Запуск службы)
7 — Разблокировка (например компьютер с защищенным паролем хранителем экрана)
8 — NetworkCleartext (Часто означает вход в IIS с “базовой аутентификацией”. Вход с правами (credentials), пересланными в виде текста.)
9 — NewCredentials
10 — RemoteInteractive (Удаленный рабочий стол, удаленный помощник, терминальные службы )
11 — CachedInteractive (вход с закешированными полномочиями, к примеру, вход на компьютер, который не в сети)

Коды отказов Kerberos

Код ошибки — Причина

6 — Имя учетной записи пользователя не существует.
12 —Ограничение времени входа, ограничение компьютера.
18 — Учетка заблокирована, деактивирована, истек ее срок действия.
23 — Истек срок действия пароля.
24 — Предварительная аутентификация не удачная; как правило неверный пароль
32 — Истек срок действия заявки. Это нормальное событие.
37 — Время на компьютере давно не синхронизировалось с контроллером домена

Коды ошибок NTLM

Код ошибки (16-ричная система) - Код ошибки (десятичная система) — Описание

C0000064 - 3221225572 — Имя пользователя не существует
C000006A - 3221225578 — Верное имя, но не правильный пароль
C0000234 - 3221226036 — пользователь заблокирован
C0000072 - 3221225586 — Учетка деактивирована
C000006F - 3221225583 — вход вне рабочее время
C0000070 - 3221225584 — Ограничение локальной станции
C0000193 — 3221225875 - срок действия учетной записи истек
C0000071 — 3221225585 - срок действия пароля Истек
C0000224 — 3221226020 - необходимо сменить пароль при следующем входе

P.S. Для автоматизации работы с журналами событий можно использовать  NetWrix Event Log Manager, она умеет собирать и архивировать журналы событий, оповещать в режиме реального времени и строить отчеты,  предупреждать о критических событиях. Есть бесплатная версия для 100 компьютеров и 10 контроллеров домена - netwrix.com/ru/event_log_management.html

Оригинал: habr.ru/post/148501/

Понравилось? =) Поделись с друзьями:

Обсуждение записи “10 важных событий (event ID) для мониторинга”

  1. Александр says:

    Доброго дня.

    А например — если мне нужно отследить пользователя с какого IP он логинился на ПК.
    Какой EVENT в таком случае?
    Спасибо.
    З.ы. имею SCOM 2012R2, происходит сбор аудита с контроллеров домена, но те отчеты которые имеются не совсем то отображают, что хочется.

  2. Владимир Демянович (elims.org.ua) says:

    Я посмотрел у себя на контролере домена, события 4624 отображают IP, возможно это то, что Вам нужно.

Обсудить