Windows日志使用电脑日志怎么看( 三 ) _小知识

有几个事件id需要关注:

文章插图

在系统中查询历史WIFI连接记录，效果如下图所示:

文章插图

3.勒索病毒。
在某些勒索软件的情况下，攻击者在局域网主机上投放蠕虫进行RDP爆炸，然后水平移动。要追踪此类攻击，需要重点分析系统登录事件，并确保在追踪之前已经正确配置了审计策略。
有几个事件id需要关注:

文章插图

登录类型为10，表示登录成功。注意比较成功登录的时间点和ransomware加密文件的时间点:

文章插图

一些软件使用P**ec来遍历内部网。如果密码爆炸成功，将安装这种P**ESVC服务，并相应生成两个事件日志，事件4697和事件7045，其中事件4697的记录可能包含帐户信息。
总结
本文以Windows日志为重点，从应急工程师的角度记录了一些常用的安全审计配置和应急响应工具的使用。应急反应是突然的、紧急的、不确定的。目前很多应急工程师已经将应急知识组织成思维导图，对于经验丰富的应急工程师来说是一个有利的工具，但是对于初学者来说，过度依赖是有害的。
对于有经验的应急工程师来说，思维导图可以用来传播思想，简化工作。但需要注意的是，很多应急响应工程师使用思维导图作为笔记，记录的内容往往是一些技能点，导致每次应急任务后技能只有寥寥数语，不利于职业的长远发展。
学习最重要的不是记录什么，而是自己思考。因此，建议初学者尽量写一些完整的文字，记录在应急过程中从外部获得的，有自己知识结构的思维火花的东西，这样可以帮助我们形成独立的思维，加深应急的深度和可追溯性。
【Windows日志使用电脑日志怎么看】