configuring-windows-event-logging-for-detection
配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。
Best use case
configuring-windows-event-logging-for-detection is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。
Teams using configuring-windows-event-logging-for-detection should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/configuring-windows-event-logging-for-detection/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How configuring-windows-event-logging-for-detection Compares
| Feature / Agent | configuring-windows-event-logging-for-detection | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 配置用于检测的 Windows 事件日志 ## 使用场景 在以下情况下使用本技能: - 配置 Windows 高级审计策略以实现安全监控 - 启用带命令行日志记录的进程创建审计(事件 4688) - 设置登录/注销审计以进行身份认证监控 - 调整事件日志存储大小并转发到 SIEM 平台 **不适用于** Sysmon 配置(独立技能)或 Linux 审计日志。 ## 操作流程 ### 步骤 1:通过 GPO 配置高级审计策略 ``` 计算机配置 → Windows 设置 → 安全设置 → 高级审计策略配置 → 审计策略 推荐设置: 账户登录: - 审计凭据验证:成功、失败 - 审计 Kerberos 认证:成功、失败 账户管理: - 审计安全组管理:成功 - 审计用户账户管理:成功、失败 登录/注销: - 审计登录:成功、失败 - 审计注销:成功 - 审计特殊登录:成功 - 审计其他登录/注销事件:成功、失败 对象访问: - 审计文件共享:成功、失败 - 审计可移动存储:成功、失败 - 审计 SAM:成功 策略更改: - 审计审计策略更改:成功、失败 - 审计身份验证策略更改:成功 权限使用: - 审计敏感权限使用:成功、失败 详细跟踪: - 审计进程创建:成功 - 审计 DPAPI 活动:成功、失败 ``` ### 步骤 2:在进程创建事件中启用命令行记录 ```powershell # 注册表:在事件 4688 中启用命令行日志记录 New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit" ` -Name ProcessCreationIncludeCmdLine_Enabled -Value 1 -PropertyType DWORD -Force # GPO:计算机配置 → 管理模板 → 系统 → 审计进程创建 # "在进程创建事件中包含命令行" → 已启用 ``` ### 步骤 3:配置事件日志大小 ```powershell # 将安全日志增加到 1 GB(默认 20 MB 不够用) wevtutil sl Security /ms:1073741824 # 增加 PowerShell Operational 日志 wevtutil sl "Microsoft-Windows-PowerShell/Operational" /ms:536870912 # 设置日志保留策略为按需覆盖 wevtutil sl Security /rt:false # 通过 GPO 配置: # 计算机配置 → 管理模板 → Windows 组件 # → 事件日志服务 → 安全 # 最大日志文件大小(KB):1048576 ``` ### 步骤 4:配置 Windows 事件转发(WEF) ```powershell # 在收集器服务器上: wecutil qc /q # 为高价值事件创建订阅: # 事件 ID:4624(登录)、4625(登录失败)、4688(进程创建)、 # 4672(特殊权限)、4720(创建用户)、4728(组成员变更)、 # 7045(安装服务)、1102(日志清除) # 在源端点上(GPO): # 配置 WinRM:winrm quickconfig # 配置事件转发:计算机配置 → 管理模板 # → Windows 组件 → 事件转发 # 配置目标订阅管理器:Server=http://collector:5985/wsman/SubscriptionManager/WEC ``` ### 步骤 5:用于检测的关键事件 ID ``` 认证事件: 4624 - 登录成功(类型 2=交互式, 3=网络, 10=远程交互式) 4625 - 登录失败 4648 - 使用显式凭据登录(RunAs、哈希传递指示器) 4672 - 分配特殊权限(管理员登录) 4776 - NTLM 凭据验证 进程事件: 4688 - 进程创建(启用后含命令行) 4689 - 进程终止 账户事件: 4720 - 创建用户账户 4722 - 启用用户账户 4724 - 尝试重置密码 4728 - 成员添加到安全组 4732 - 成员添加到本地组 4756 - 成员添加到通用组 服务/系统事件: 7045 - 安装新服务(持久化指示器) 1102 - 清除审计日志(证据篡改) 4697 - 在系统中安装服务 横向移动指示器: 4648 + 4624(类型 3) - 基于凭据的横向移动 5140 - 访问网络共享 5145 - 网络共享访问检查(详细文件共享) ``` ## 关键概念 | 术语 | 定义 | |------|------| | **高级审计策略** | 细粒度审计子类别(58 个子类别,对比基本的 9 个类别) | | **事件 ID 4688** | 进程创建事件;对跟踪端点上的执行行为至关重要 | | **WEF** | Windows 事件转发(Windows Event Forwarding),无需第三方代理即可集中收集日志 | | **登录类型** | 表示认证方式的数字代码(2=交互式, 3=网络, 10=RDP) | ## 工具与系统 - **Windows 事件转发(WEF)**:内置集中式日志收集 - **NXLog**:用于 Windows 事件的开源日志转发代理 - **Winlogbeat**:将 Windows 事件日志传送到 Elasticsearch 的 Elastic Agent - **Palantir WEF 配置**:开源 WEF 订阅模板 ## 常见误区 - **使用基本审计策略而非高级策略**:基本和高级审计策略会产生冲突,始终只使用高级审计策略。 - **默认日志大小过小**:繁忙服务器上 20 MB 的安全日志几分钟就会写满。最小设置为 1 GB。 - **缺少命令行日志记录**:没有命令行内容的事件 4688 几乎没有检测价值。务必启用 ProcessCreationIncludeCmdLine_Enabled。 - **未转发日志**:端点被勒索软件清除时,本地事件日志也会丢失。应立即转发到集中式 SIEM。
Related Skills
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-steganography-detection
使用隐写分析(Steganalysis)工具检测和提取嵌入在图像、音频及其他媒体文件中的隐藏数据,揭露隐蔽通信渠道。
performing-lateral-movement-detection
检测横向移动(Lateral Movement)技术,包括哈希传递(Pass-the-Hash)、PsExec、WMI 执行、 RDP 转移和基于 SMB 的传播,使用 SIEM 关联 Windows 事件日志、网络流数据和终端遥测, 映射到 MITRE ATT&CK 横向移动战术(TA0008)技术。
performing-dns-tunneling-detection
通过计算 DNS 查询名称的香农熵(Shannon Entropy)、分析查询长度分布、检测 TXT 记录载荷以及 识别高子域名基数,检测 DNS 隧道(DNS Tunneling)攻击。使用 scapy 进行数据包捕获分析, 结合统计方法区分合法 DNS 流量和隐蔽信道。适用于数据泄露猎威场景。
performing-container-escape-detection
通过分析命名空间配置、特权容器检查、危险能力分配和宿主机路径挂载,使用 kubernetes Python 客户端检测容器逃逸尝试。识别通过 cgroup 滥用的 CVE-2022-0492 类型逃逸。 适用于审计容器安全态势或调查逃逸尝试。
performing-adversary-in-the-middle-phishing-detection
检测和响应中间人(AiTM)钓鱼攻击,这类攻击使用 EvilProxy、Evilginx 和 Tycoon 2FA 等反向代理工具包绕过 MFA 并窃取会话令牌。
implementing-web-application-logging-with-modsecurity
配置带有 OWASP 核心规则集(CRS)的 ModSecurity WAF,实现 Web 应用程序日志记录, 调整规则以减少误报,分析审计日志进行攻击检测,并为应用程序特定威胁实现自定义 SecRules。 分析师配置 SecRuleEngine、SecAuditEngine 和 CRS 偏执级别,以在安全覆盖范围和运营稳定性之间取得平衡。 适用于涉及 WAF 配置、ModSecurity 规则调整、Web 应用审计日志或 CRS 部署的场景。
implementing-siem-use-cases-for-detection
通过设计映射到 MITRE ATT&CK 技术的关联规则、阈值告警和行为分析, 在 Splunk、Elastic 和 Sentinel 中实施 SIEM 检测用例。 适用于 SOC 团队需要扩展检测覆盖范围、规范用例生命周期管理, 或构建与组织威胁画像对齐的检测库时。
implementing-network-intrusion-prevention-with-suricata
使用自定义规则、Emerging Threats 规则集和内联流量检测部署和配置 Suricata 作为网络入侵防御系统,实现实时威胁阻断。
implementing-honeytokens-for-breach-detection
部署金丝雀令牌(canary tokens)和蜜标(honeytokens),包括伪造的 AWS 凭据、DNS 金丝雀、 文档信标和数据库记录,当攻击者访问时触发告警。使用 Canarytokens API 和自定义 Webhook 集成 实现入侵检测。适用于构建基于欺骗技术的早期预警入侵检测系统的场景。
implementing-honeypot-for-ransomware-detection
部署诱饵文件、蜜罐共享和诱骗系统,在最早阶段检测勒索软件活动。配置嵌入 战略文件位置的金丝雀令牌,在勒索软件尝试加密时触发告警;使用模拟高价值 目标的蜜罐网络共享;部署 Thinkst Canary 设备进行全面的基于欺骗的检测。