조사에서 Windows 보안 이벤트 ID 4688을 해석하는 방법

이벤트 ID 4688을 해석하려면 이벤트 로그에 포함된 다양한 필드를 이해하는 것이 중요합니다. 이러한 필드를 사용하여 모든 불규칙성을 감지하고 프로세스의 출처를 다시 소스로 추적할 수 있습니다.

• 생성자 주제: 이 필드는 새 프로세스 생성을 요청한 사용자 계정에 대한 정보를 제공합니다. 이 필드는 컨텍스트를 제공하고 포렌식 조사관이 이상을 식별하는 데 도움이 될 수 있습니다. 여기에는 다음과 같은 여러 하위 필드가 포함됩니다.

• • 보안 식별자(SID)”에 따르면 Microsoft, SID는 트러스티를 식별하는 데 사용되는 고유한 값입니다. Windows 시스템에서 사용자를 식별하는 데 사용됩니다.
  • 계정 이름: SID는 새 프로세스 생성을 시작한 계정의 이름을 표시하도록 확인됩니다.
  • 계정 도메인: 컴퓨터가 속한 도메인.
  • 로그온 ID: 사용자의 로그온 세션을 식별하는 데 사용되는 고유한 XNUMX진수 값입니다. 동일한 이벤트 ID를 포함하는 이벤트를 상관시키는 데 사용할 수 있습니다.

• 대상 제목: 이 필드는 프로세스가 실행 중인 사용자 계정에 대한 정보를 제공합니다. 프로세스 생성 이벤트에 언급된 주제는 경우에 따라 프로세스 종료 이벤트에 언급된 주제와 다를 수 있습니다. 따라서 작성자와 대상이 동일한 로그온을 갖지 않는 경우 둘 다 동일한 프로세스 ID를 참조하더라도 대상 주체를 포함하는 것이 중요합니다. 하위 필드는 위의 작성자 주제와 동일합니다.
• 프로세스 정보: 이 필드는 생성된 프로세스에 대한 자세한 정보를 제공합니다. 여기에는 다음과 같은 여러 하위 필드가 포함됩니다.

• • 새 프로세스 ID(PID): 새 프로세스에 할당된 고유한 XNUMX진수 값입니다. Windows 운영 체제는 이를 사용하여 활성 프로세스를 추적합니다.
  • 새 프로세스 이름: 새 프로세스를 만들기 위해 시작된 실행 파일의 전체 경로 및 이름입니다.
  • 토큰 평가 유형: 토큰 평가는 사용자 계정이 특정 작업을 수행할 권한이 있는지 확인하기 위해 Windows에서 사용하는 보안 메커니즘입니다. 프로세스가 상승된 권한을 요청하는 데 사용할 토큰 유형을 "토큰 평가 유형"이라고 합니다. 이 필드에는 세 가지 가능한 값이 있습니다. 유형 1(%%1936)은 프로세스가 기본 사용자 토큰을 사용하고 있으며 특별한 권한을 요청하지 않았음을 나타냅니다. 이 필드의 경우 가장 일반적인 값입니다. 유형 2(%%1937)는 실행을 위해 전체 관리자 권한을 요청한 프로세스를 성공적으로 획득했음을 나타냅니다. 사용자가 응용 프로그램이나 프로세스를 관리자로 실행하면 활성화됩니다. 유형 3(%%1938)은 프로세스가 상승된 권한을 요청했지만 요청된 작업을 수행하는 데 필요한 권한만 수신했음을 나타냅니다.

• • 필수 레이블: 프로세스에 할당된 무결성 레이블입니다. 
  • 작성자 프로세스 ID: 새 프로세스를 시작한 프로세스에 할당된 고유한 XNUMX진수 값입니다. 
  • 생성자 프로세스 이름: 새 프로세스를 생성한 프로세스의 전체 경로 및 이름입니다.
  • 프로세스 명령줄: 새 프로세스를 시작하기 위해 명령에 전달된 인수에 대한 세부 정보를 제공합니다. 여기에는 현재 디렉터리 및 해시를 비롯한 여러 하위 필드가 포함됩니다.