Event ID quan trọng nhất trong Log Windows mà SOC analyst phải biết

25/05/2025
8 mins read

Để thu thập được đầy đủ các log sau, đặc biệt là các log liên quan đến Process Creation (4688), Scheduled Tasks (4698), Object Access (4663), v.v., bạn cần cấu hình Chính sách Kiểm tra (Audit Policy) nâng cao trên các hệ thống Windows (Local Security Policy hoặc Group Policy).

Các Event Log Windows Quan trọng cho SOC

(Chủ yếu từ Security Log, một số từ System và Application Log)

1. Hoạt động Đăng nhập/Đăng xuất (Logon/Logoff)

  • Log Source: Security
  • Event ID(s):
    • 4624: Successful Logon (Đăng nhập thành công)
    • 4625: Failed Logon (Đăng nhập thất bại)
    • 4634/4647: Logoff (Đăng xuất)
    • 4672: Special Logon (Đăng nhập đặc biệt – tài khoản có quyền admin hoặc tương đương)
  • Mô tả: Ghi lại các phiên đăng nhập và đăng xuất trên hệ thống. Event 4624 chứa thông tin chi tiết về loại đăng nhập (Interactive, RemoteInteractive, Network, Batch, Service), tài khoản nào, từ đâu (địa chỉ IP nguồn), v.v.
  • Ý nghĩa cho SOC:
    • Phát hiện đăng nhập trái phép: 4625 (đặc biệt là số lượng lớn từ một nguồn IP hoặc trên nhiều tài khoản) là dấu hiệu chính của các cuộc tấn công Brute-force hoặc dò mật khẩu.
    • Theo dõi hoạt động người dùng: 4624 giúp xác định ai đã đăng nhập vào hệ thống nào, khi nào và bằng cách nào. 4672 cảnh báo về các phiên đăng nhập có đặc quyền cao.
    • Theo dõi các đăng nhập bất thường: Đăng nhập vào thời gian lạ, từ địa điểm lạ, hoặc loại đăng nhập bất thường (ví dụ: tài khoản người dùng thông thường đăng nhập loại “Service” hoặc “Batch”).
  • Tác động tiềm tàng:
    • Truy cập trái phép vào hệ thống/dữ liệu.
    • Thiết lập điểm truy cập ban đầu (Initial Access).
    • Tăng quyền (Privilege Escalation) nếu phát hiện đăng nhập đặc quyền bất thường.
    • Phát hiện các nỗ lực tấn công.

2. Quản lý Tài khoản Người dùng và Nhóm (Account Management)

  • Log Source: Security
  • Event ID(s):
    • 4720: A user account was created.
    • 4726: A user account was deleted.
    • 4722: A user account was enabled.
    • 4723: An attempt was made to change an account’s password.
    • 4724: An attempt was made to reset an account’s password.
    • 4738: A user account was changed. (Kiểm tra các thay đổi về tên, trạng thái, mô tả, v.v.)
    • 4756: A member was added to a security-enabled global group. (Ví dụ: Thêm vào Administrators group)
    • 4757: A member was removed from a security-enabled global group.
    • 4767: A user account was unlocked.
  • Mô tả: Ghi lại các thay đổi đối với tài khoản người dùng và nhóm bảo mật trong môi trường Active Directory hoặc trên máy cục bộ.
  • Ý nghĩa cho SOC:
    • Phát hiện tài khoản giả mạo/backdoor: Tạo hoặc kích hoạt tài khoản mới, đặc biệt là tài khoản có tên đáng ngờ hoặc được thêm vào các nhóm có quyền cao.
    • Theo dõi thay đổi quyền hạn: Thêm người dùng vào các nhóm quản trị (Administrators, Domain Admins) là một dấu hiệu cực kỳ quan trọng của việc tăng quyền.
    • Giám sát hoạt động quản trị: Đảm bảo các thay đổi tài khoản được thực hiện bởi đúng người và có ủy quyền.
  • Tác động tiềm tàng:
    • Tạo tài khoản tồn tại dai dẳng (Persistence).
    • Tăng quyền truy cập trái phép (Privilege Escalation).
    • Che giấu hoạt động bằng tài khoản mới.

3. Thực thi Tiến trình (Process Creation)

  • Log Source: Security
  • Event ID(s):
    • 4688: A new process has been created. (RẤT QUAN TRỌNG – Yêu cầu cấu hình Audit Process Creation)
    • 4689: A process has exited.
  • Mô tả: Event 4688 ghi lại thông tin về tiến trình mới được tạo, bao gồm tên tiến trình cha và tiến trình con, đường dẫn đầy đủ của file thực thi, dòng lệnh được sử dụng (command line arguments – CỰC KỲ QUAN TRỌNG), và ID tiến trình.
  • Ý nghĩa cho SOC:
    • Phát hiện hoạt động của Malware/Exploit: Malware thường tạo ra các tiến trình đáng ngờ, chạy từ các vị trí bất thường (ví dụ: thư mục tạm), hoặc sử dụng các dòng lệnh lạ.
    • Phát hiện kỹ thuật tấn công: Các kỹ thuật như “living off the land binaries” (LOLBAS – sử dụng các file nhị phân hệ thống hợp pháp cho mục đích độc hại, ví dụ: powershell.exe, cmd.exe, certutil.exe), thực thi mã từ bộ nhớ, hoặc sử dụng các script độc hại sẽ được ghi lại trong command line.
    • Truy vết hoạt động: Giúp xây dựng chuỗi sự kiện dẫn đến một sự cố (ví dụ: một file độc hại được tải xuống bởi trình duyệt, sau đó trình duyệt tạo ra một tiến trình cmd/powershell, sau đó tiến trình đó tạo ra một tiến trình malware).
  • Tác động tiềm tàng:
    • Thực thi mã độc.
    • Thu thập thông tin (Discovery).
    • Thực hiện các hành động trên mục tiêu (Actions on Objectives).
    • Thiết lập Persistence.

4. Thay đổi Chính sách Kiểm tra/Bảo mật (Audit Policy/Security Policy Changes)

  • Log Source: Security
  • Event ID(s):
    • 4719: System audit policy was changed.
    • 4816: The Security object logon cache was cleared. (Có thể liên quan đến Kerberoasting hoặc tấn công vé)
  • Mô tả: Ghi lại khi cấu hình Audit Policy của hệ thống bị thay đổi.
  • Ý nghĩa cho SOC:
    • Phát hiện kẻ tấn công che giấu dấu vết: Kẻ tấn công có thể cố gắng tắt hoặc thay đổi Audit Policy để ngăn chặn việc ghi lại hoạt động của chúng.
  • Tác động tiềm tàng:
    • Tạo điều kiện cho các hoạt động độc hại khác diễn ra mà không bị ghi log.
    • Che giấu bằng chứng về cuộc tấn công.

5. Xóa Log Bảo mật (Security Log Clearing)

  • Log Source: Security
  • Event ID: 1102: The audit log was cleared.
  • Mô tả: Ghi lại khi Security Log bị xóa.
  • Ý nghĩa cho SOC:
    • Dấu hiệu rõ ràng của nỗ lực che giấu dấu vết: Xóa log là một kỹ thuật phổ biến được sử dụng bởi kẻ tấn công hoặc người dùng độc hại để xóa bỏ bằng chứng về hoạt động của họ.
  • Tác động tiềm tàng:
    • Mất bằng chứng quan trọng về sự cố bảo mật.
    • Khó khăn hoặc không thể thực hiện điều tra pháp y số (forensics).

6. Thay đổi Cấu hình Hệ thống Quan trọng

  • Log Source: System, Security
  • Event ID(s):
    • System Log:
      • 7036: The service entered the running state / stopped state. (Trạng thái dịch vụ thay đổi – theo dõi các dịch vụ quan trọng hoặc dịch vụ mới tạo/chạy)
      • 7045: A service was installed in the system. (Một dịch vụ mới được cài đặt – Dấu hiệu Persistence)
      • 1074: The process … has initiated the shutdown/restart of the computer.
    • Security Log:
      • 4697: A service was installed in the system. (Phiên bản Security Log của 7045 – Yêu cầu Audit Policy)
      • 4698: A scheduled task was created. (Dấu hiệu Persistence – Yêu cầu Audit Policy)
      • 4702: A scheduled task was updated.
      • 4896: A scheduled task was deleted.
      • 4946: A rule has been added to the Windows Firewall exception list. (Hoặc thay đổi rule)
      • 4947: A rule has been deleted from the Windows Firewall exception list.
  • Mô tả: Ghi lại các sự kiện liên quan đến trạng thái dịch vụ, cài đặt dịch vụ mới, tạo/thay đổi tác vụ theo lịch, và thay đổi cấu hình tường lửa Windows.
  • Ý nghĩa cho SOC:
    • Phát hiện kỹ thuật Persistence: Kẻ tấn công thường cài đặt dịch vụ hoặc tạo tác vụ theo lịch để đảm bảo mã độc chạy lại sau khi hệ thống khởi động lại.
    • Phát hiện thay đổi cấu hình phòng thủ: Thay đổi tường lửa có thể cho phép kẻ tấn công giao tiếp ra bên ngoài hoặc di chuyển ngang trong mạng.
    • Giám sát hoạt động bất thường: Dịch vụ quan trọng bị dừng hoặc khởi động lại bất thường, hệ thống tự động tắt/khởi động lại không theo kế hoạch.
  • Tác động tiềm tàng:
    • Thiết lập Persistence (duy trì quyền truy cập).
    • Làm suy yếu các biện pháp phòng thủ (tường lửa).
    • Gây gián đoạn dịch vụ (DoS) thông qua tắt dịch vụ quan trọng.

7. Truy cập Đối tượng (Object Access) – File, Registry, v.v.

  • Log Source: Security
  • Event ID(s):
    • 4656: A handle to an object was requested. (Khi một đối tượng được truy cập)
    • 4663: An attempt was made to access an object. (Khi quyền truy cập cụ thể (đọc, ghi, xóa) được sử dụng – RẤT QUAN TRỌNG – Yêu cầu cấu hình SACLs trên các file/registry key cụ thể và Audit Policy)
  • Mô tả: Ghi lại các nỗ lực truy cập (đọc, ghi, xóa) vào các đối tượng hệ thống như file, thư mục, registry key, máy in, v.v.
  • Ý nghĩa cho SOC:
    • Phát hiện truy cập dữ liệu nhạy cảm trái phép: Theo dõi ai đang cố gắng đọc, ghi hoặc xóa các file/thư mục chứa dữ liệu quan trọng.
    • Phát hiện thay đổi Registry độc hại: Giám sát các thay đổi đối với các Registry key liên quan đến Persistence (Run keys), thay đổi cấu hình bảo mật, hoặc các cài đặt hệ thống quan trọng khác.
    • Truy vết hoạt động sau khi xâm nhập: Xác định những file/registry key nào đã bị truy cập hoặc sửa đổi bởi kẻ tấn công.
  • Tác động tiềm tàng:
    • Đánh cắp dữ liệu (Data Exfiltration).
    • Phá hoại dữ liệu (Tampering).
    • Thiết lập Persistence hoặc thay đổi cấu hình độc hại thông qua Registry.

8. Hoạt động của Thiết bị Bên ngoài (External Device Usage)

  • Log Source: Security
  • Event ID(s):
    • 4660: An object was deleted. (Có thể liên quan đến việc ngắt kết nối thiết bị USB sau khi dữ liệu bị sao chép – Yêu cầu cấu hình Audit Policy)
    • (Các Event ID khác tùy thuộc vào cấu hình cụ thể cho việc cắm/tháo thiết bị USB)
  • Mô tả: Ghi lại các sự kiện liên quan đến việc kết nối và ngắt kết nối các thiết bị lưu trữ di động (USB drive).
  • Ý nghĩa cho SOC:
    • Phát hiện đánh cắp dữ liệu (Data Exfiltration): Theo dõi việc cắm USB drive vào các máy chủ hoặc máy trạm nhạy cảm có thể là dấu hiệu của việc sao chép dữ liệu trái phép.
    • Phát hiện lây nhiễm mã độc qua USB: Theo dõi việc cắm các thiết bị không được phê duyệt.
  • Tác động tiềm tàng:
    • Đánh cắp dữ liệu.
    • Lây nhiễm mã độc vào mạng nội bộ.

9. Các Lỗi và Cảnh báo Hệ thống Quan trọng

  • Log Source: System
  • Event ID(s): (Các Event ID này rất đa dạng tùy thuộc vào nguyên nhân)
    • Bugcheck events: Các Event ID liên quan đến Blue Screen of Death (BSOD).
    • Disk/Hardware errors: Các cảnh báo hoặc lỗi liên quan đến ổ cứng, bộ nhớ RAM, nguồn điện, v.v.
    • Service Control Manager Errors: Lỗi khi khởi động hoặc chạy dịch vụ quan trọng.
  • Mô tả: Ghi lại các lỗi nghiêm trọng, cảnh báo hoặc sự cố phần cứng/phần mềm gây ảnh hưởng đến hoạt động của hệ thống.
  • Ý nghĩa cho SOC:
    • Phát hiện sự cố ổn định hệ thống: Các lỗi phần cứng/phần mềm liên tục có thể chỉ ra vấn đề cần khắc phục hoặc là kết quả của một cuộc tấn công (ví dụ: tấn công từ chối dịch vụ – DoS).
    • Manh mối về hoạt động độc hại: Một số mã độc hoặc kỹ thuật tấn công có thể gây ra lỗi hệ thống hoặc làm sập dịch vụ.
  • Tác động tiềm tàng:
    • Gián đoạn dịch vụ (DoS).
    • Mất dữ liệu (trong trường hợp lỗi đĩa).
    • Hệ thống không khả dụng.

10. Lỗi Ứng dụng (Application Errors)

  • Log Source: Application
  • Event ID(s): (Rất đa dạng, phụ thuộc vào ứng dụng)
    • 1000: Application Error (Lỗi ứng dụng chung, thường là ứng dụng bị crash)
    • Các Event ID khác từ các ứng dụng cụ thể: Ví dụ: Lỗi từ cơ sở dữ liệu, web server (IIS), phần mềm diệt virus, v.v.
  • Mô tả: Ghi lại các lỗi xảy ra trong quá trình hoạt động của các ứng dụng.
  • Ý nghĩa cho SOC:
    • Phát hiện tấn công khai thác lỗ hổng: Một số cuộc tấn công (ví dụ: Buffer Overflow) có thể gây ra lỗi ứng dụng crash.
    • Theo dõi hoạt động của phần mềm bảo mật: Log từ phần mềm diệt virus hoặc EDR (Endpoint Detection and Response) thường nằm trong Application Log và cung cấp cảnh báo quan trọng về việc phát hiện/chặn mã độc.
    • Phát hiện các vấn đề cấu hình/tương thích: Giúp chẩn đoán các vấn đề gây ra lỗi ứng dụng có thể làm gián đoạn hoạt động kinh doanh.
  • Tác động tiềm tàng:
    • Gián đoạn dịch vụ ứng dụng.
    • Có thể là dấu hiệu của nỗ lực khai thác lỗ hổng.

Các Lưu ý Bổ sung Quan trọng cho SOC:

  1. Cấu hình Audit Policy: Đây là điều kiện tiên quyết. Không cấu hình đúng, bạn sẽ bỏ lỡ rất nhiều Event ID quan trọng, đặc biệt là 4688, 4663, 4698, 4719, v.v. Hãy tham khảo các hướng dẫn cấu hình Audit Policy tối ưu cho mục đích bảo mật.
  2. Loại bỏ “Nhiễu” (Noise Reduction): Số lượng log trong môi trường Windows rất lớn. SOC cần các kỹ thuật lọc và tinh chỉnh để chỉ tập trung vào các sự kiện bất thường hoặc có rủi ro cao (ví dụ: lọc bỏ các đăng nhập thành công lặp đi lặp lại từ các nguồn đáng tin cậy, hoặc các thay đổi registry thông thường của hệ thống).
  3. Tương quan (Correlation): Sức mạnh thực sự của việc phân tích log nằm ở việc tương quan các sự kiện từ nhiều nguồn khác nhau (ví dụ: đăng nhập thất bại (4625) số lượng lớn, sau đó là tạo tài khoản mới (4720), sau đó là cài đặt dịch vụ mới (7045/4697)). SIEM hoặc Log Management System là công cụ không thể thiếu để thực hiện điều này ở quy mô lớn.
  4. Baselining: Hiểu rõ hành vi “bình thường” của hệ thống (ai đăng nhập khi nào, tiến trình nào thường chạy, dịch vụ nào hoạt động) giúp dễ dàng phát hiện các hành vi “bất thường”.
  5. Log Forwarding: Chuyển tiếp log từ các máy trạm/máy chủ về một hệ thống tập trung (SIEM/Log Management) là bắt buộc để phân tích hiệu quả, lưu trữ lâu dài và chống lại việc kẻ tấn công xóa log cục bộ.
  6. Cập nhật Kiến thức: Các kỹ thuật tấn công và Event ID quan trọng có thể thay đổi theo thời gian hoặc phiên bản Windows. SOC cần liên tục cập nhật kiến thức về threat intelligence và cách các kỹ thuật tấn công để lại dấu vết trong log.