Blog Details

Nguồn Log: Security

Event ID: 4624 (Đăng nhập thành công), 4625 (Đăng nhập thất bại), 4634/4647 (Đăng xuất), 4672 (Đăng nhập đặc quyền)

Mô tả: Ghi lại các sự kiện liên quan đến đăng nhập/đăng xuất. Đặc biệt, 4624 chi tiết loại đăng nhập (Interactive, Remote, Network…), tên tài khoản và IP nguồn.

Ý nghĩa SOC:

• Phát hiện brute-force qua 4625
• Giám sát phiên đăng nhập đặc quyền 4672
• Theo dõi hoạt động bất thường (thời gian, địa chỉ IP lạ)

Tác động:

• Truy cập trái phép
• Initial Access
• Privilege Escalation

Nguồn Log: Security

Event ID: 4720 (Tạo tài khoản), 4726 (Xóa tài khoản), 4722 (Kích hoạt tài khoản), 4723/4724 (Thay đổi/reset mật khẩu), 4738 (Thay đổi thuộc tính tài khoản), 4756/4757 (Thêm/Xóa khỏi nhóm bảo mật), 4767 (Mở khóa tài khoản)

Mô tả: Ghi nhận mọi thay đổi trong hệ thống tài khoản, nhóm bảo mật (Administrator, Domain Admins…).

Ý nghĩa SOC:

• Phát hiện backdoor (tài khoản lạ được tạo hoặc kích hoạt)
• Giám sát thay đổi quyền quản trị
• Theo dõi hoạt động quản trị viên

Tác động:

• Persistence
• Privilege Escalation
• Che giấu hành vi thông qua tài khoản mới

Nguồn Log: Security

Event ID: 4688 (Tạo tiến trình mới), 4689 (Tiến trình kết thúc)

Mô tả: 4688 ghi nhận tên tiến trình, command line, tiến trình cha, vị trí chạy — rất hữu ích trong truy vết tấn công.

Ý nghĩa SOC:

• Phát hiện thực thi malware
• Nhận diện LOLBAS (powershell.exe, certutil.exe…)
• Xây dựng timeline tấn công

Tác động:

• Thực thi mã độc
• Discovery
• Persistence

Nguồn Log: Security

Event ID: 4719 (Thay đổi Audit Policy), 4816 (Xóa logon cache)

Mô tả: Thường gắn liền với nỗ lực xóa dấu vết hoặc mở đường cho tấn công Kerberoasting.

Ý nghĩa SOC:

• Cảnh báo kẻ tấn công muốn vô hiệu hóa giám sát
• Phát hiện hành vi che giấu

Tác động:

• Làm mù SOC
• Nguy cơ không phát hiện được hành vi độc hại

Nguồn Log: Security

Event ID: 1102 (Xóa toàn bộ Security Log)

Mô tả: Sự kiện rất nhạy cảm, hiếm khi xảy ra trong hệ thống vận hành bình thường.

Ý nghĩa SOC:

• Cảnh báo đỏ: hành vi che giấu hậu tấn công

Tác động:

• Mất bằng chứng
• Điều tra số gặp khó khăn

Nguồn Log: System, Security

Event ID: 7045/4697 (Cài đặt dịch vụ), 7036 (Dịch vụ được khởi động/dừng), 4698/4702/4896 (Tác vụ theo lịch), 1074 (Tắt/khởi động máy tính), 4946/4947 (Thay đổi rule firewall)

Mô tả: Những thay đổi này thường bị kẻ tấn công sử dụng để thiết lập persistence hoặc mở đường di chuyển ngang.

Ý nghĩa SOC:

• Phát hiện backdoor qua Scheduled Task hoặc dịch vụ giả
• Nhận diện thao tác bất thường với tường lửa
• Ghi nhận sự cố DoS (tắt dịch vụ quan trọng)

Tác động:

• Persistence
• Mở rộng tấn công
• Gián đoạn hệ thống

Nguồn Log: Security

Event ID: 4656 (Mở handle đối tượng), 4663 (Truy cập đối tượng read/write/delete)

Mô tả: Ghi lại truy cập vào file, registry, thư mục – đặc biệt khi có cấu hình Audit đúng.

Ý nghĩa SOC:

• Theo dõi truy cập dữ liệu nhạy cảm
• Giám sát thay đổi registry độc hại
• Truy vết hậu xâm nhập

Tác động:

• Data Exfiltration
• Phá hoại dữ liệu
• Persistence bằng registry

Nguồn Log: Security

Event ID: 4660 (Đối tượng bị xóa – gián tiếp phản ánh hành vi rút USB sau copy)

Mô tả: Ghi nhận cắm/rút thiết bị lưu trữ ngoài nếu cấu hình Audit phù hợp.

Ý nghĩa SOC:

• Phát hiện đánh cắp dữ liệu qua USB
• Lây nhiễm mã độc ngoại vi

Tác động:

• Data breach
• Malware entry point

Nguồn Log: System

Event ID: Lỗi BSOD (Bugcheck), Lỗi ổ đĩa, RAM, dịch vụ quan trọng

Mô tả: Ghi lại các sự cố gây ảnh hưởng đến hoạt động hệ thống.

Ý nghĩa SOC:

• Cảnh báo sự cố liên tục có thể do malware hoặc DoS
• Tác động đến dịch vụ giám sát, vận hành

Tác động:

• Hệ thống không ổn định
• Gián đoạn dịch vụ

Nguồn Log: Application

Event ID: 1000 (Ứng dụng bị crash), Event khác từ ứng dụng cụ thể như IIS, AV, DB…

Mô tả: Ghi nhận lỗi bên trong các phần mềm cài trên hệ thống.

Ý nghĩa SOC:

• Phát hiện lỗi ứng dụng do lỗi nội bộ hoặc do khai thác
• Cảnh báo ảnh hưởng bảo mật từ ứng dụng bên thứ ba

Tác động:

• Mất tính khả dụng
• Khai thác lỗ hổng ứng dụng