En praktisk genomlysning av Windows eventloggning

Introduktion

Windows eventloggning är en oumbärlig loggkälla för IT-forensik och incidenthantering som ingår i alla Windows-enheter, men som bör anpassas för att logga och kunna upptäcka vanliga incidenter i Windows-miljöer.

Windows eventloggar som lagras i .evtx filer under C:\Windows\System32\winevt\Logs i XML-format och kan granskas lokalt i loggboken (engelska: Event Viewer) eventvwr.msc som nedan. Loggningen delas upp i olika logg-hivar Application, Security, Setup, System och Forwarded Events sedan har olika händelser har olika event-ID. Gemensam data för alla events finns i under <System> i XML-loggen medan specifik logg för en händelse finns i <EventData> eller <UserData>. Nedan visas en event 4624 logg vilket motsvarar att ett konto loggade på.

Problembild

Windows förvalda eventloggning inte tillräcklig för att kunna logga och detektera vanliga incidenter. Förvald loggstorlek är 20 MB, även på domänkontrollanter! (varav 15MB för powershell loggning). Och om inte loggarna samlas in och en larmsättning ställs in kommer eventloggen endast användas när incidenter konstaterats på andra sätt.

Strategi

Ett effektivt sätt att påbörja en larmsättning är att implementera Sigma-regler som bygger på eventloggning för att detektera avvikelser, men förvald loggning i Windows ger en undermålig täckning på vad som loggas och vilka regler som kan användas. Ett sätt att inventera täckningen mot sviter av Sigma-regler är att köra WELA ¹ som både kan inventera och applicera loggningsinställningar baserat på en baseline.

I version 2.0.0 av WELA kan nuvarande loggkonfiguration mätas mot följande baselines:

YamatoSecurity (community-driven konfiguration) ²
Australian Signals Directorate (australisk myndighets konfiguration) ³
Microsoft Client och Server (Microsoft rekommenderad konfiguration) ⁴

Genom WELA har en nyinstallerad Windows 11 klient 25H2 OS Build 26200.6899 en täckning på 23.56% mot YamatoSecurity och Australian Signals Directorates baselines. Efter en körning noteras att regelkategorin Process Creation med 1363 regler varav 69 inte kan implementeras eftersom kommandorader inte är inkluderade i process creation-event. Vidare saknas loggning kopplat till registret och Powershell.

Nedan visas en jämförelse av de kategorier av eventloggar som har flest detektionsregler och eventloggsinställningarna före och efter att WELA tillämpat YamatoSecurity-baseline.

Efter att automatiskt tillämpat YamatoSecurity-baseline nås 87.88% täckning utan ytterligare åtgärder.

Konkreta brister med förvalda logginställningar

För att kolla specifika inställningar kan verktyget auditpol användas i Powershell. Innan en baseline tillämpats noteras att både lyckade och misslyckade Logon-events loggas (event id 4624, 5625). Men nya processer loggas inte (event id 4688) likadant med NTLM Credential Validation (event id 4776 , 4777). Förvald inställning för NTLM Credential Validation är att logga endast lyckade valideringar och bara på server-OS.

Med loggning på credential validation kan bland annat följande Sigma-regler användas för att detektera password guessing, user guessing och password-spray attacker:

Metasploit SMB Autentication
Valid Users Failing to Authenticate from Single Source Using NTLM
Invalid Users Failing to Authenticate from Single Source Using NTLM
Failed Logins with Different Accounts from Single Source System

Ett källa till analyssvårigheter är också att Windows-loggen inte kodar meddelande-data i själva .evtx-filerna, utan baserat på Provider och EventID-värde hämtas interpoleras meddelandetexten från korrekt MESSAGE_TABLE från en extern DLL-fil. Så ifall applikationslogg inhämtas från ett annat system till ett system utan samma log-provider kommer loggmeddelandet att sakna meddelandetext vad som loggats.⁵ Lyckligtvis finns det internet-resurser som förklarar vanliga event-id såsom Windows Security Event log events. ⁶

Referenser

 Publicerat 2026-02-03 Skrivet av Daniel Hedencrona