Windows Event IDs
مهمه لكل محلل للأمن السيبراني مع شرح مبسط لها بالإضافه إلى مصادر للتعمق فيها وفهمها بشكل كامل.
1.Event ID 4624 -
تسجيل الدخول الناجح للحساب: يتم إنشاؤه عندما يقوم المستخدم بتسجيل الدخول بنجاح إلى نظام Windows.
مهمه لكل محلل للأمن السيبراني مع شرح مبسط لها بالإضافه إلى مصادر للتعمق فيها وفهمها بشكل كامل.
1.Event ID 4624 -
تسجيل الدخول الناجح للحساب: يتم إنشاؤه عندما يقوم المستخدم بتسجيل الدخول بنجاح إلى نظام Windows.
2. Event ID 4625 -
فشل تسجيل الدخول إلى الحساب: يتم تشغيله عند فشل محاولة تسجيل الدخول.
3. Event ID 4688
إنشاء العملية: يتم تسجيله عند إنشاء عملية جديدة على نظام Windows
4. Event ID 4769
عمليات تذكرة خدمة Kerberos: يرتبط بمصادقة Kerberos ويوفر معلومات حول طلبات تذاكر الخدمة
فشل تسجيل الدخول إلى الحساب: يتم تشغيله عند فشل محاولة تسجيل الدخول.
3. Event ID 4688
إنشاء العملية: يتم تسجيله عند إنشاء عملية جديدة على نظام Windows
4. Event ID 4769
عمليات تذكرة خدمة Kerberos: يرتبط بمصادقة Kerberos ويوفر معلومات حول طلبات تذاكر الخدمة
5. Event ID 7045 -
إنشاء الخدمة: يتم تسجيله عند إنشاء خدمة جديدة أو تعديلها على نظام Windows.
6. Event ID 5156 -
اتصال على مستوى قاعدة Firewall : يتم إنشاؤه بواسطة Windows firewall ويوفر معلومات حول اتصالات الشبكة الواردة والصادرة.
إنشاء الخدمة: يتم تسجيله عند إنشاء خدمة جديدة أو تعديلها على نظام Windows.
6. Event ID 5156 -
اتصال على مستوى قاعدة Firewall : يتم إنشاؤه بواسطة Windows firewall ويوفر معلومات حول اتصالات الشبكة الواردة والصادرة.
7. Event ID 4689 -
تم خروج العملية: يتم تسجيله عند خروج العملية على نظام Windows.
8. Event ID 1102 -
مسح سجل التدقيق: يتم تسجيله عند مسح سجل الأمان على نظام Windows.
9.Event ID 5140 -
الوصول إلى مشاركة الشبكة: يتم إنشاؤه عندما يصل المستخدم إلى مشاركة الشبكة على نظام Windows
تم خروج العملية: يتم تسجيله عند خروج العملية على نظام Windows.
8. Event ID 1102 -
مسح سجل التدقيق: يتم تسجيله عند مسح سجل الأمان على نظام Windows.
9.Event ID 5140 -
الوصول إلى مشاركة الشبكة: يتم إنشاؤه عندما يصل المستخدم إلى مشاركة الشبكة على نظام Windows
10.Event ID 4624 and 4672 -
تصعيد الامتياز: (تسجيل الدخول إلى الحساب) و4672 (الامتيازات الخاصة المعينة لتسجيل الدخول الجديد) غالبًا ما يرتبطان بتحديد محاولات تصعيد الامتيازات.
مصادر مهمه:
support.sophos.com
ultimatewindowssecurity.com
tryhackme.com
تصعيد الامتياز: (تسجيل الدخول إلى الحساب) و4672 (الامتيازات الخاصة المعينة لتسجيل الدخول الجديد) غالبًا ما يرتبطان بتحديد محاولات تصعيد الامتيازات.
مصادر مهمه:
support.sophos.com
ultimatewindowssecurity.com
tryhackme.com
support.sophos.com/support/s/arti…
Loading
This KBA lists the Event IDs generated by Windows and are helpful during investigations around RDP A...
ultimatewindowssecurity.com/securitylog/en…
Windows Security Log Event ID 4624 - An account was successfully logged on
tryhackme.com/room/windowsev…
TryHackMe | Cyber Security Training
TryHackMe is a free online platform for learning cyber security, using hands-on exercises and labs,...
جاري تحميل الاقتراحات...