Hướng dẫn chi tiết về các Event Code và Logon Type trong Windows Authentication logs, cách phân tích và ứng dụng trong SOC operations.
Windows Security Expert
Authentication Specialist
Event này được ghi lại khi có một logon thành công vào hệ thống Windows. Đây là event quan trọng nhất để theo dõi hoạt động đăng nhập hợp lệ.
Event này được ghi lại khi có một logon thất bại. Đây là event quan trọng để phát hiện brute force attacks và các hoạt động đăng nhập bất thường.
Event này được ghi lại khi user logoff khỏi hệ thống. Hữu ích để theo dõi session lifecycle.
Event này được ghi lại khi có logon sử dụng explicit credentials (như RunAs). Quan trọng để phát hiện privilege escalation.
User đăng nhập trực tiếp tại console của máy tính (keyboard + mouse).
User đăng nhập qua network (SMB, file sharing, network resources). Lưu ý: RDP cũng có thể tạo LogonType 3 trong một số trường hợp.
User đăng nhập qua Remote Desktop Protocol (RDP). Quan trọng để phát hiện brute force.
User đăng nhập sử dụng cached credentials khi domain controller không available.
Hacker thực hiện brute force attack trên RDP server từ IP 212.132.125.106
Attacker đã compromise một máy và đang thực hiện lateral movement
Employee sử dụng credentials của người khác để truy cập tài nguyên
Luôn theo dõi Event ID 4625 để phát hiện brute force attacks sớm
Kết hợp LogonType với IP addresses và thời gian để phát hiện patterns bất thường
Theo dõi LogonType 3 và 4648 để phát hiện lateral movement
Thiết lập baseline cho hoạt động bình thường để phát hiện anomalies
Tạo alerts tự động cho các patterns đáng ngờ
Hiểu rõ về Windows Authentication Event Codes và Logon Types là kỹ năng cơ bản nhưng cực kỳ quan trọng cho SOC Analyst. Việc nắm vững các event codes này giúp:
Luôn kết hợp nhiều event codes và logon types để có cái nhìn toàn diện về hoạt động authentication. Một attack thường tạo ra nhiều loại events khác nhau, việc correlate chúng sẽ giúp phát hiện threats hiệu quả hơn.
Windows Security Expert
Authentication Specialist
