在当今数字化时代,系统安全是任何组织和企业都必须关注的重要问题。Windows操作系统提供了强大的安全功能,其中之一就是安全日志。通过分析安全日志,管理员可以及时发现潜在的安全威胁,并采取适当的措施保护系统的安全。本文将讲述一种如何从安全日志文件大量记录中筛查出可疑IP的方法。
某市某分局下属派出所接到一起报案:某短视频平台中的商城店铺外包客服团队报案说是黑客入侵了他们电脑,通过电脑上登录的客服系统给每一个单聊买家发送了淫秽图片或威胁用语,现店铺接到大量买家投诉决定向外包客服团队索赔,外包客服团队希望办案单位能够尽快破案,将入侵嫌疑人绳之以法。如何从电子数据角度查找该案关键线索呢?
打开Windows自带的“事件查看器”,通过“事件查看器”将安全日志保存到勘验U盘,以便之后导入到取证电脑进行分析。
通过“事件查看器”,打开保存的安全日志,再通过“筛选当前日志”的功能,对安全日志进行筛查。
打开“筛选当前日志”后,表示登录记录的事件ID有4个,分别如下:
(1)事件ID 4624:表示成功登录,即用户已经通过身份验证成功登录到系统。这个事件记录了登录成功的详细信息,如登录账户、登录类型、登录时间等。
(2)事件ID 4625:表示登录失败,即用户尝试登录但未通过身份验证。这个事件记录了登录失败的详细信息,如登录账户、登录类型、登录失败原因等。
(3)事件ID 4648:表示已使用另一个帐户登录。当用户在已经登录的会话中使用其他凭据进行登录时,会生成此事件。这个事件记录了原始登录和新登录的详细信息。
(4)事件ID 4776:表示帐户登录的尝试失败。这个事件记录了帐户登录失败的详细信息,但与事件ID 4625不同,该事件主要用于远程(网络)登录的尝试。
筛选出事件id为4624的登录成功的安全日志文件:
筛查出登录成功的日志记录后,将筛选的日志文件另存为csv格式的文本文件。
保存的登录成功的日志记录,其格式为csv文件,如图所示,并不方便分析异常的登录IP地址。
可以利用一些python编程技术,将登录成功的安全日志中的关键字段,如进程名称、账户名称、工作站名称、源网络地址(远程登录IP)、源端口以及时间等数据提取出来保存为excle表格,python的部分核心代码如图所示。
转化完成的日志文件的excle表格如图所示,此时即可很方便对异常登录的IP地址进行分析。
分析安全日志的异常IP地址不仅可以帮助追踪攻击者的来源,确定攻击来自哪个地理位置或网络,进而采取适当的防御措施。还具有以下帮助:
通过筛查可疑IP地址,可以检测未经授权的访问尝试。这些可疑IP地址可能是黑客或未经授权的用户试图获取系统访问权限或敏感信息的迹象。
可疑IP地址通常与异常的行为相关联。通过分析安全日志中的IP地址,可以识别异常登录尝试、频繁的访问失败、异常的网络流量等,从而发现潜在的安全威胁或系统问题。
通过筛查可疑IP地址,可以识别之前未知的攻击模式或源。这有助于提前采取措施阻止未知攻击,并加强系统的安全性。