Wéi interpretéiere ech Windows Security Event ID 4688 an enger Enquête

Fir Event ID 4688 z'interpretéieren, ass et wichteg déi verschidde Felder am Event Log ze verstoen. Dës Felder kënne benotzt ginn fir all Onregelméissegkeeten z'entdecken an den Urspronk vun engem Prozess zréck op seng Quell ze verfolgen.

• Creator Subject: dëst Feld liwwert Informatioun iwwer de Benotzerkont deen d'Schafe vun engem neie Prozess gefrot huet. Dëst Feld bitt Kontext a kann forensesch Enquêteuren hëllefen Anomalien z'identifizéieren. Et enthält verschidde Ënnerfelder, dorënner:

• • Sécherheetsidentifizéierer (SID)" Laut Microsoft, de SID ass en eenzegaartege Wäert deen benotzt gëtt fir e Vertrauens ze identifizéieren. Et gëtt benotzt fir Benotzer op der Windows Maschinn z'identifizéieren.
  • Kontonumm: de SID gëtt geléist fir den Numm vum Kont ze weisen deen d'Schafung vum neie Prozess initiéiert huet.
  • Account Domain: d'Domain zu deem de Computer gehéiert.
  • Logon ID: en eenzegaartege hexadezimale Wäert dee benotzt gëtt fir d'Loginsession vum Benotzer z'identifizéieren. Et kann benotzt ginn fir Eventer ze korreléieren déi déiselwecht Event ID enthalen.

• Zilbetreff: dëst Feld liwwert Informatioun iwwer de Benotzerkont ënner deem de Prozess leeft. D'Thema ernimmt am Prozess Kreatioun Event kann, an e puer Ëmstänn, ënnerscheeden aus dem Sujet ernimmt am Prozess Enn Event. Also, wann de Schëpfer an d'Zil net deeselwechte Logon hunn, ass et wichteg d'Zilthema ze enthalen, och wa se béid déiselwecht Prozess ID referenzéieren. D'Ënnerfelder sinn d'selwecht wéi déi vum Creator Thema hei uewen.
• Prozessinformatioun: dëst Feld liwwert detailléiert Informatioun iwwer de erstallte Prozess. Et enthält verschidde Ënnerfelder, dorënner:

• • New Process ID (PID): en eenzegaartege hexadezimale Wäert deen dem neie Prozess zougewisen ass. De Windows Betribssystem benotzt et fir aktiv Prozesser ze verfollegen.
  • Neie Prozessnumm: de komplette Wee an den Numm vun der ausführbarer Datei déi gestart gouf fir den neie Prozess ze kreéieren.
  • Token Evaluatiounstyp: Token Evaluatioun ass e Sécherheetsmechanismus dee vu Windows benotzt gëtt fir ze bestëmmen ob e Benotzerkont autoriséiert ass fir eng bestëmmten Handlung auszeféieren. D'Zort vum Token e Prozess benotzt fir erhéicht Privilegien ze froen gëtt den "Token Evaluatiounstyp" genannt. Et ginn dräi méiglech Wäerter fir dëst Feld. Typ 1 (%%1936) bezeechent datt de Prozess de Standard Benotzer Token benotzt an keng speziell Permissiounen ugefrot huet. Fir dëst Feld ass et den allgemengste Wäert. Typ 2 (%% 1937) bezeechent datt de Prozess voll Administrator Privilegien ugefrot huet fir ze lafen an erfollegräich ze kréien. Wann e Benotzer eng Applikatioun oder Prozess als Administrator leeft, ass et aktivéiert. Typ 3 (%% 1938) bezeechent datt de Prozess nëmmen déi néideg Rechter krut fir déi ugefrote Handlung auszeféieren, och wann et erhéicht Privilegien ugefrot huet.

• • Obligatoresch Label: en Integritéitslabel deen dem Prozess zougewisen ass. 
  • Creator Process ID: en eenzegaartege hexadezimale Wäert deen dem Prozess zougewisen ass deen den neie Prozess initiéiert huet. 
  • Creator Process Name: Voll Wee an Numm vum Prozess deen den neie Prozess erstallt huet.
  • Prozess Command Line: bitt Detailer iwwer d'Argumenter, déi an de Kommando passéiert sinn, fir den neie Prozess ze initiéieren. Et enthält e puer Ënnerfelder dorënner den aktuellen Verzeechnes an Hashes.