Wie filtere ich nur die Anmeldezeiten der Benutzertastatur aus den 4624-Ereignisprotokolldaten heraus?

Ich versuche, aus dem Sicherheitsereignisprotokoll diejenigen Protokolle herauszufiltern, die dem Benutzer (mir) entsprechen, der sich anmeldet, indem er ein Kennwort auf der Tastatur eingibt. Ich möchte, dass es das Entsperren des Bildschirms sowie das Anmelden nach dem Einschalten des PCS erkennt.

Ich glaube, die dafür verantwortliche Ereignis-ID ist 4624.

Mein Problem ist, dass bei jeder Anmeldung eine Vielzahl dieser Ereignis-IDs erstellt wird.

Um dies herauszufiltern, chech ich in der XML von allen 4624 Ereignis-IDs für:

  1. If "LogonType" == 2, die Nummer zwei Typ zugewiesen ist, interaktiven Tastatur - /Bildschirm-Anmeldung.

  2. Wenn "TargetUsername" == Myusername, werden alle von anderen Diensten initiierten Anmeldeereignisse entfernt.

  3. Wenn "LogonGuid" != "00000000-0000-0000-0000-000000000000", werden redundante Kopien des Anmeldeereignisses entfernt, die auch meinen Namen als "TargetUsername" und innerhalb weniger Millisekunden nach einer Anmeldung mit der ID GUID, die nicht Null ist.

Ich bin mir nicht sicher, ob dies der richtige Ansatz ist, wie er verwendet wird es scheint Login-Ereignis nach dem Booten zu verpassen. Keines der Ereignisse um die Zeit, als ich mich zum ersten Mal nach dem Herunterfahren anmeldete, hat alle drei Bedingungen erfüllt.

Heute um 9: 30 Uhr gab es eine Reihe von 4624 Ereignissen, aber keine, die meinen Kriterien entsprechen würde. Unten ist mein Login / Out-Extrakt, es gibt zwei aufeinanderfolgende Logout-Ereignisse ohne Login dazwischen. Ich habe mich jedoch um 9:30 Uhr angemeldet.

Log in:   12-10T13:45:09.92629
Log out:  12-10T13:06:44.29530
Log in:   12-10T09:59:15.51808
Log out:  12-10T09:48:59.63086 <--
Log out:  12-07T17:36:59.08875 <--
Log in:   12-07T15:12:21.93870
Log out:  12-07T15:10:52.82871
Log in:   12-07T14:05:37.53658
Log out:  12-07T13:57:03.61220
Log in:   12-07T13:35:47.04114
Log out:  12-07T13:35:33.83213
Log in:   12-07T13:19:58.33986
Log out:  12-07T13:19:49.87156
Log in:   12-07T12:54:40.80056
Log out:  12-07T12:15:52.70091
Log in:   12-07T09:50:54.37527
Log out:  12-07T09:33:20.24622
Log in:   12-07T09:32:22.36908
Log out:  12-06T17:10:28.06655
Log in:   12-06T16:37:02.14689
Log out:  12-06T16:26:36.92315
Log in:   12-06T12:58:48.43339
Log out:  12-06T12:04:33.35497

Es gibt ein Ereignis mit LogonType des Wertes 2, aber es ist TargetUserName ist UMFD-0, gleichzeitig mal gibt es ein anderes Ereignis mit dem richtigen Benutzernamen (mne) als TargetUserName, aber das LogonType ist 11.

Ich habe neu gestartet und versucht, es wieder zu finden, und dieses Mal gab es ein Ereignis, das diese drei Filter erfüllte. Ich bin mir nicht sicher, ob dies eine war oder eher mein Verständnis weit weg ist.

Wie strukturiere ich mein Skript, um mithilfe von Windows-Ereignis-IDs die Zeiten zu ermitteln, zu denen ich mich über die Tastatur angemeldet habe?

Dank!

Author: mega_creamery, 2018-12-10
Source

1 answers

Es scheint, dass mein Filteransatz nur teilweise korrekt ist, da sich nicht jede Tastaturanmeldung in der Ereignisanzeige als Ereignis 4624 vom Typ 2 manifestiert. Unten finden Sie eine Tabelle der Anmeldetypen zusammen mit ihrer Beschreibung, Tabelle aus ultimatewindowssecurity. 

Logon                       Description
Type     
-----------------------------------------------------------------------------------------------------
2    Interactive (logon at keyboard and screen of system)
3    Network (i.e. connection to shared folder on this computer from elsewhere on network)
4    Batch (i.e. scheduled task)
5    Service (Service startup)
7    Unlock (i.e. unnattended workstation with password protected screen saver)
8    NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates 
     a logon to IIS with "basic authentication") 
9    NewCredentials such as with RunAs or mapping a network drive with alternate credentials.  
     This logon type does not seem to show up in any events.  If you want to track users attempting 
     to logon with alternate credentials see 4648.  MS says "A caller cloned its  current token and 
     specified new credentials for outbound connections. The new logon session has  the same local 
     identity, but uses different credentials for other network connections."
10   RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11   CachedInteractive (logon with cached domain credentials such as 
     when logging on to a laptop when away from the network)

Die genaue Definition eines interaktiven Logins ist für mich immer noch etwas unscharf, da ich widersprüchliche Definitionen finde, aber die Typen 10 und 11 haben Interactive in ihrer Beschreibung. Typ 11 tritt auf, wenn ich mich bei meiner Arbeit anmelde station, während nicht mit dem Netzwerk verbunden.

Das Hinzufügen dieses Ereignisses und Typs zum Filter hat es mir ermöglicht, alle Anmeldeereignisse herauszufischen.

 0
Author: mega_creamery,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-12-13 12:16:54