Windows 事件 ID 4624:解读每一次成功登录
4624 记录里到底包含什么、为什么 LogonType 字段比事件本身更关键、分诊时应该重点关注哪些字段,以及如何在大规模日志数据中高效地读懂这些登录事件,应用于事件响应与威胁狩猎的实用指引。
发布于 1 约 {n} 分钟阅读
事件 ID 4624 ——「成功登录账户」—— 是 Windows 每次完成身份认证时写入 Security 通道的记录。在大多数工作站上,它是流量最大的单一记录,也是几乎所有应急响应调查的脊柱。会读它是必备技能。
一条 4624 记录里有什么
关键字段都在 <EventData> 里:
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">alice</Data>
<Data Name="TargetDomainName">CORP</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp</Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">LAPTOP-01</Data>
<Data Name="IpAddress">10.0.0.42</Data>
<Data Name="LogonGuid">{...}</Data>
Subject* 系列字段是发起这次登录的安全上下文(服务启动时往往是 S-1-5-18 = SYSTEM)。Target* 系列字段才是最终被认证的身份。把它们搞混会让分析师白白损失几小时。
LogonType 才是关键字段
Windows 定义了十种登录类型;实务中真正驱动分诊的就那么几种:
- 2 — Interactive:物理或控制台登录。
- 3 — Network:SMB、RPC、WinRM,任何走网络的认证。日常流量的绝大多数。
- 4 — Batch:在某个用户账号下运行的计划任务。
- 5 — Service:以特定账号启动的服务。
- 7 — Unlock:屏保解锁。
- 8 — NetworkCleartext:罕见且可疑 —— 明文传送凭证(IIS 的 Basic 认证、老旧打印机)。
- 9 — NewCredentials:
runas /netonly,攻击者把域凭证带到一台他只有本地权限的机器时常用。 - 10 — RemoteInteractive:RDP。结合
IpAddress做来源归因。 - 11 — CachedInteractive:用缓存凭证完成的域账号登录(域控不可达)。
周日凌晨三点来自外部 IP 的 LogonType 10 一条 4624,跟凌晨两点来自备份服务器的 50 条 LogonType 3,讲的完全不是同一个故事。
该和哪些事件串联
单独一条 4624 成功记录,几乎从不是结论。和下面这些串起来,才有价值:
- 同一来源紧接其前的 4625 —— 一阵失败之后的一次成功,是教科书式的「爆破成功」签名。
- 4672(已分配特殊权限)—— 标记授予了
SeDebugPrivilege等权限的登录,适合用来找特权账号的使用情况。 - 4648(使用显式凭证登录)—— 捕获
runas等凭证传递模式。
在大规模数据里怎么读
本页面的解析器会直接从记录的 XML 提取上述字段并展示在表格里。用时间线区块加文本筛选(搜索框输入 4624)按 LogonType 过滤,把过滤结果导出为 CSV,然后在你顺手的工具里以 SubjectUserSid + IpAddress 透视。每条记录的完整 XML 距离一次点击。