보안 담당자(with SoC)를 위한 핵심 Windows Event Log별 분류 알아보기

안녕하세요 :) 
MINI입니다.

Windows Event log 분석에 대한 글입니다.
아래와 같이 카테고리별로 구분해서 작성하였습니다.

- Category 1: 로그온 및 인증 관련 이벤트
- Category 2: 계정 및 권한 변경 이벤트
- Category 3: 계정 및 권한 변경 이벤트
- Category 4: 네트워크 및 공유 자원 접근 이벤트
- Category 5: 도메인 정찰 및 AD 조작 시도 이벤트

반응형

---

Category 1: 로그온 및 인증 관련 이벤트

Windows 시스템에서 발생하는 사용자 로그인, 인증 실패, Kerberos 티켓 요청, 특수 권한 부여 등과 관련된 활동을 기록합니다.
SOC 분석가는 이 로그들을 통해 다음과 같은 보안 목표를 달성할 수 있습니다:

• 사용자 로그인 성공/실패 흐름 추적
• 계정 탈취/권한 상승 시도 탐지
• 비정상 인증 흐름, 내부 이동(lateral movement) 탐지
• Kerberos 인증 오용 및 공격(예: Pass-the-Ticket, TGT 스니핑) 모니터링

✅ 포함된 Windows Event ID List

Event ID List

4624	Successful Logon
4625	Failed Logon
4648	Logon Attempt Using Explicit Credentials
4672	Special Privileges Assigned to New Logon
4634	Logoff
4768	Kerberos TGT Requested
4769	Kerberos Service Ticket Requested
4776	Credentials Validation Attempted

---

Details(상세 설명)

1. 4624 – Successful Logon

• 설명: 사용자 또는 서비스가 시스템에 성공적으로 로그인했음을 나타냄
  (원격, 로컬 상관없이 로그온이 정상적으로 성공하는 경우 기록되기 때문에 어떤 방식으로 로그온이 되었는지 정보는 로그온 유형에서 확인)
• 중요성: 비정상 위치·시간대의 로그인은 계정 탈취 신호
• 활용: 로그인 출처(IP, 국가, 장치) 분석 → 이상 행동 탐지
• 예시: 한국 직원 계정이 러시아에서 로그인 → 침해 의심
• 대응: VPN, MFA 적용 / 지리 기반 탐지 룰 구성

---

2. 4625 – Failed Logon

• 설명: 로그인 실패 (잘못된 암호 등)(로그인 유형에서 자세히 봐야함)
• 중요성: 반복 실패는 크리덴셜 스터핑, 브루트포스 공격의 전조
• 활용: 짧은 시간 내 다수 실패, 고위 계정 대상 시도 감시
• 예시: admin 계정으로 50회 실패 → 공격자 탐지 가능성
• 대응: 계정 잠금정책, MFA 필수 적용 / 실패 횟수 기반 알림

---

3. 4648 – Logon Attempt Using Explicit Credentials

• 설명: 명시적 자격 증명을 사용해 로그인 시도한 경우
• 중요성: lateral movement 공격에서 주로 사용
• 활용: 비업무 시간, 민감 시스템 접근 여부 분석
• 예시: 야간에 powershell이 파일 서버 접근 시도
• 대응: 민감 시스템에 대한 명시적 인증 사용 시 경고

---

4. 4672 – Special Privileges Assigned to New Logon

• 설명: 로그인 시 고급 권한(예: 관리자 권한) 부여됨
• 중요성: 권한 상승, 내부자 위협 탐지에 핵심
• 활용: 평소 관리자 권한 없는 계정에 대한 권한 상승 여부 추적
• 예시: 비정상 계정이 SeDebugPrivilege 획득
• 대응: 고권한 로그인 감시, 비정상 권한 부여 탐지 설정

---

5. 4634 – Logoff

• 설명: 시스템에서 정상적으로 로그오프 되었음을 나타냄
• 중요성: 세션 종료 시점 분석 → 세션 납치 또는 악성 종료 탐지
• 활용: 예상보다 짧거나 긴 세션 시간, 이상 종료 시간 확인
• 예시: 업무 시간 도중 갑작스러운 로그오프 발생
• 대응: 세션 타임아웃 정책 구성, 비정상 로그오프 감시

---

6. 4768 – Kerberos TGT Requested

• 설명: Kerberos 인증 요청을 위해 TGT 발급 시도
• 중요성: 인증 흐름의 핵심 이벤트로 탈취 시도 탐지 가능
• 활용: TGT 요청 패턴 분석 → 자격 증명 도용 탐지
• 예시: 짧은 시간 동안 같은 계정으로 10건 이상 TGT 요청
• 대응: Kerberos 패턴 기반 탐지, 강력한 암호 정책 적용

---

7. 4769 – Kerberos Service Ticket Requested

• 설명: Kerberos 서비스 사용을 위한 서비스 티켓 요청 발생
• 중요성: lateral movement나 Pass-the-Ticket 공격 탐지
• 활용: 요청된 시스템이 평소 접근하지 않는 시스템인지 확인
• 예시: 평소 접근하지 않던 DB서버로 티켓 요청
• 대응: 비정상 시스템 접근 알림 설정, 요청 패턴 분석

---

8. 4776 – Credentials Validation Attempted

• 설명: 시스템이 자격 증명 유효성을 검증했으나 실패
• 중요성: 인증 실패 원인 분석, NTLM Relay 등 공격 감지 가능
• 활용: 반복된 인증 실패, 비정상 위치에서의 시도 감시
• 예시: 도난된 자격 증명을 사용한 반복 로그인 실패
• 대응: 실패 이벤트 상관분석, 강력한 인증체계 적용

---

Category 2: 계정 및 권한 변경 이벤트

Windows 환경에서 사용자 계정과 보안 그룹의 구성 변화를 기록합니다. 공격자는 권한 상승, 백도어 생성, 흔적 제거 등을 목적으로 이 이벤트들을 악용할 수 있습니다.
SOC 분석가는 이 이벤트를 통해 다음과 같은 보안 위협을 조기 탐지할 수 있습니다.

• 권한 상승 (Privilege Escalation)
• 계정 생성/삭제 통한 흔적 제거
• 관리자 그룹 무단 편입
• 계정 속성 조작을 통한 장기 은닉

✅ 포함된 Event ID List

Event ID list 

4720	A User Account Was Created
4726	A User Account Was Deleted
4732	A Member Was Added to a Security-Enabled Local Group
4738	A User Account Was Changed
4740	A User Account Was Locked Out
4756	A Member Was Added to a Security-Enabled Global Group
4703	A User Right Was Assigned

Details 상세 설명

1. 4720 – A User Account Was Created

• 설명: 새 사용자 계정이 생성되었음을 기록
• 중요성: 공격자가 백도어용 계정을 생성하는 경우가 많음
• 활용: 비업무 시간대, 고권한 그룹 포함 여부 분석
• 예시: 외부 접속 후 helpdesk2라는 신규 계정 생성됨
• 대응: 자동 경보 설정 (예: 관리자 그룹 포함 신규 계정 생성 시)

---

2. 4726 – A User Account Was Deleted

• 설명: 사용자 계정이 삭제되었음을 기록
• 중요성: 공격자가 흔적 제거 목적으로 계정을 삭제할 수 있음
• 활용: 최근 활동 기록과 연계 분석하여 의심 여부 판단
• 예시: 사용되지 않던 계정 삭제 기록 → 실제로 최근 로그인됨
• 대응: 삭제된 계정의 최근 활동과 비교, 자동 감사 설정

---

3. 4732 – A Member Was Added to a Security-Enabled Local Group

• 설명: 보안 로컬 그룹(예: Administrators)에 사용자가 추가됨
• 중요성: 권한 상승 시도 가능성
• 활용: 고위험 그룹에 대한 변경 기록 집중 분석
• 예시: 평범한 사용자 계정이 Administrators 그룹에 추가됨
• 대응: 민감 그룹의 변경 실시간 경보, RBAC 정책 강화

---

4. 4738 – A User Account Was Changed

• 설명: 계정 속성(비밀번호, 만료일 등) 변경
• 중요성: 공격자가 지속 접근 위해 속성 조작할 수 있음
• 활용: 변경된 항목 비교 → 정당한 변경인지 확인
• 예시: 비밀번호 만료 제거, 비활성 계정 재활성화
• 대응: 비정상 변경 감지 규칙 설정, 변경 이력 정기 검토

---

5. 4740 – A User Account Was Locked Out

• 설명: 로그인 실패로 계정 잠김
• 중요성: 브루트포스, credential stuffing 탐지
• 활용: 고위 계정이 잠긴 경우 자동 탐지 룰 필수
• 예시: 관리자 계정 20회 로그인 실패 후 잠금됨
• 대응: 계정 잠금 알림, IP 블랙리스트 자동 연계

---

6. 4756 – A Member Was Added to a Security-Enabled Global Group

• 설명: 글로벌 그룹(예: Domain Admins)에 사용자 추가
• 중요성: 전체 도메인에 영향 미치는 권한 상승 가능
• 활용: 그룹 이름 필터링하여 민감 그룹 대상 추가 여부 모니터링
• 예시: ‘Domain Admins’ 그룹에 신규 계정 추가
• 대응: 민감 그룹 변경 실시간 경고, 그룹 변경 승인 프로세스 도입

---

7. 4703 – A User Right Was Assigned

• 설명: 계정에 OS 권한(예: 백업 권한, 로그온 권한 등)이 부여됨
• 중요성: 권한 오용 또는 시스템 수준 악성 활동 가능
• 활용: 어떤 권한이 부여되었는지 세부 로그 분석
• 예시: 공격자가 SeBackupPrivilege 권한을 자신에게 할당
• 대응: 고위험 권한 변화 감시, 권한 최소화 원칙 적용

---

Category 3: 계정 및 권한 변경 이벤트

시스템 내에서 실제로 실행되거나 종료된 프로세스, 시스템 감사 로그 삭제, KDC(인증 서비스) 조작 등과 같이 공격자가 행동을 개시하거나 흔적을 지우는 단계와 관련된 이벤트들로 구성됩니다.
EDR 및 SIEM에서 탐지 연계가 반드시 필요한 고위험 이벤트들입니다.
SOC 분석가는 이 로그들을 통해 다음을 수행할 수 있습니다.

• 악성 스크립트 또는 프로그램 실행 탐지
• 보안 감사 로그 삭제 여부 확인
• 백신/로그 수집 시스템 강제 종료 여부 확인
• Kerberos 기반 인증 시스템 중단 시도 추적

✅ 포함된 Event ID List

Event ID List

4688	A New Process Has Been Created
4689	A Process Has Exited
1102	Audit Log Was Cleared
5058	Key Distribution Center (KDC) Service Was Stopped

Details 상세 설명

1. 4688 – A New Process Has Been Created

• 설명: 새로운 프로세스가 시스템에서 실행됨
• 중요성: 공격자가 PowerShell, WScript, rundll32 등을 통해 악성 코드 실행 시 발생
• 활용:
  • 실행 경로, 부모 프로세스, 사용자 계정 등을 기반으로 악성 실행 여부 탐지
  • cmd.exe → powershell.exe → encodedCommand 같은 체인은 전형적인 공격 플로우
• 예시: C:\Users\Public\script.ps1이 Powershell로 실행됨
• 대응/탐지:
  • 비정상 경로에서 실행된 스크립트 감시
  • 정기적인 실행 프로세스 패턴 베이스라인 구성

---

2. 4689 – A Process Has Exited

• 설명: 시스템에서 실행되던 프로세스가 종료됨
• 중요성: 보안 제품 종료 시도, 또는 프로세스 hollowing 등 탐지 우회 기법 연관
• 활용:
  • 종료된 프로세스가 백신, 로깅, EDR 등일 경우 우선 감시
• 예시: MsMpEng.exe(Windows Defender)가 사용자 계정으로 종료됨
• 대응/탐지:
  • 핵심 보안 프로세스 종료 탐지 룰 구성
  • 사용자 계정으로 보안 서비스 종료 시 경고 발생

---

3. 1102 – Audit Log Was Cleared

• 설명: 보안 감사 로그(Security Log)가 수동 또는 명령어에 의해 삭제됨
• 중요성: 공격자가 침투 흔적을 지우기 위해 로그를 삭제하는 행위
• 활용:
  • 누가 언제 로그를 삭제했는지, 직전 이벤트와의 상관 관계 분석
• 예시: eventvwr.msc 또는 wevtutil cl Security 명령으로 감사 로그 초기화
• 대응/탐지:
  • 로그 삭제 행위 자체를 침해 지표로 간주
  • 보안 로그 삭제에 대한 실시간 경고 활성화

---

4. 5058 – Key Distribution Center (KDC) Service Was Stopped

• 설명: Kerberos 인증 핵심 서비스인 KDC가 중지됨
• 중요성: 인증 중단은 AD 기반 접근 통제에 큰 영향을 미치며, 공격자가 인증 우회 시도 가능
• 활용:
  • 누가 어떤 경로로 서비스 중지를 유발했는지 확인
  • 서비스 로그 재시작 여부 또는 비정상 재구성 여부도 감시
• 예시: 공격자가 KDC 중지 후 수동 계정 매핑을 통한 접근 시도
• 대응/탐지:
  • KDC 관련 서비스 재시작, 중지 로그 실시간 감시
  • 해당 서비스에 대한 정합성 검사 자동화

---

🧩 탐지 전략 요약 (SIEM 적용 포인트)

• ✔ 4688 프로세스 생성 로그는 가장 광범위한 공격 탐지 단서 → EDR 연계 필수
• ✔ 1102 로그 삭제 이벤트는 고위험 침해 시그널로 반드시 경보 처리
• ✔ 5058 KDC 서비스 중단은 인증 우회 시도와 직접 연관되므로 별도 탐지 룰 구성
• ✔ 4689와 4688을 연계하여 비정상 생성-종료 패턴 분석 가능

---

Category 4: 네트워크 및 공유 자원 접근 이벤트

Windows Filtering Platform(WFP)이나 파일 공유(Shared Resource)와 관련된 활동을 기록합니다.
외부에서의 비정상 접근 시도, 내부 사용자의 공유 폴더 접근, 악성 통신을 사전에 차단한 방화벽 로그 등이 포함됩니다.
SOC 분석가는 이 이벤트들을 통해 다음과 같은 위협을 탐지할 수 있습니다.

• 외부 공격자의 네트워크 접근 시도
• 민감 파일에 대한 무단 접근
• Command & Control(C2) 서버와의 통신
• 보안 정책이 연결을 허용 또는 차단했는지 여부

✅ 포함된 Event ID List

Event ID list

5140	A Network Share Object Was Accessed
5156	WFP Allowed a Connection
5158	WFP Permitted a Bind to a Local Port
5152	WFP Blocked a Connection

Details 상세 설명

1. 5140 – A Network Share Object Was Accessed

• 설명: 파일 공유(예: \\fileserver\confidential)에 접근 시 발생
• 중요성: 민감한 정보 유출이나 내부자의 무단 열람 가능성
• 활용:
  • 특정 사용자 또는 그룹이 언제 어떤 공유 파일에 접근했는지 분석
  • 평소 접근하지 않는 사용자가 민감 리소스에 접근했는지 탐지
• 예시: 인사팀 외 사용자가 \\hr\personnel.xlsx 열람
• 대응/탐지:
  • 민감 공유 폴더에 대한 접근 감사 활성화
  • 업무 외 시간대 접근 시 경보 발생

---

2. 5156 – Windows Filtering Platform Allowed a Connection

• 설명: WFP가 인바운드 또는 아웃바운드 연결을 허용했음을 기록
• 중요성: 허용된 네트워크 연결이 의도된 것인지 검토 필요
• 활용:
  • 연결 대상 IP, 포트, 프로토콜 분석 → 허가되지 않은 목적 확인
  • 방화벽 설정 상 허용된 비정상 연결 파악
• 예시: powershell.exe가 185.45.78.66 (외부 C2 IP)로 연결
• 대응/탐지:
  • 내부에서 외부 IP 연결 탐지 룰 구성
  • 허용 연결 중 악성 목적지 식별을 위한 위협 인텔리전스 연동

---

3. 5158 – WFP Permitted a Bind to a Local Port

• 설명: 프로세스가 특정 로컬 포트에 바인딩을 성공했을 때 기록
• 중요성: 공격자가 C2 서버를 열거나 백도어 포트를 여는 상황에서 사용됨
• 활용:
  • svchost.exe, powershell.exe 같은 프로세스가 포트를 열었는지 감시
  • 일반적이지 않은 포트 바인딩 패턴을 탐지
• 예시: netcat.exe가 4444번 포트에 바인딩됨
• 대응/탐지:
  • 바인딩된 포트 및 프로세스 목록 상시 수집
  • 허가되지 않은 포트 바인딩 시 경고

---

4. 5152 – WFP Blocked a Connection

• 설명: WFP가 특정 네트워크 연결을 차단함
• 중요성: 방화벽이 악성 트래픽 또는 정책 위반 시도를 차단했을 가능성
• 활용:
  • 어떤 목적지로의 연결이 차단되었는지 파악하여 공격 시도 분석
  • 반복 차단된 연결은 자동 IP 차단 조치 가능
• 예시: 외부 C2 서버 연결 시도가 차단됨 (국가 차단 설정)
• 대응/탐지:
  • 차단된 IP 목록과 위협 인텔리전스 비교
  • 다수 시스템에서 동일 목적지 차단 시 → 조직적 공격 탐지

---

🧩 탐지 전략 요약 (SIEM 적용 포인트)

• ✔ 5140 로그로 내부 사용자 행위 기반 이상 접근 탐지 가능 (DLP와 연계 추천)
• ✔ 5156, 5158, 5152는 방화벽의 허용/차단 여부를 기반으로 공격자 외부 연결 탐지에 활용
• ✔ 특정 프로세스(powershell.exe, cmd.exe)와의 연결은 반드시 집중 분석
• ✔ 방화벽 정책 우회 시도 → 허용된 후 즉시 차단된 패턴은 침해 시그널

---

Category 5: 도메인 정찰 및 AD 조작 시도 이벤트

공격자가 조직 내부에 침입한 후에는 다음 목표로 도메인 구조 파악, 권한 정보 탐색, 감지 회피를 위한 시스템 이동 등을 수행합니다. 이 범주의 이벤트는 바로 그런 정찰 및 조작 행위를 식별하는 데 특화되어 있으며, APT 공격의 초기 탐색 단계, 내부자 위협, 권한 남용 등을 조기에 탐지하는 데 매우 유용합니다.
SOC 분석가는 아래 이벤트를 통해 다음을 파악할 수 있습니다. 

• 공격자의 권한 수준 탐색 시도
• 민감 사용자/그룹 정보 열람
• 침해 시스템의 OU 이동을 통한 감지 회피 시도
• 내부 권한 매핑을 위한 탐색 도구 사용 가능성

✅ 포함된 Event ID List

Event ID list

4798	A User's Local Group Membership Was Enumerated
4743	A Computer Account Was Changed (Moved to Another OU)

Details 상세 설명

1. 4798 – A User's Local Group Membership Was Enumerated

• 설명: 특정 사용자 계정의 그룹 멤버십 정보를 열람한 이벤트
• 중요성: 공격자가 권한 높은 사용자를 식별하기 위해 사용하는 전형적인 정찰 행위
• 활용:
  • net user, whoami /groups, PowerShell 등으로 그룹 정보 열람 시 발생
  • 누가, 언제, 어떤 계정의 그룹을 조회했는지를 분석
• 예시: 평범한 사용자 계정이 ‘domain admin’ 계정의 그룹 멤버십을 조회
• 대응/탐지:
  • 고권한 계정의 그룹 정보 조회 시 실시간 탐지
  • 특정 사용자의 반복된 그룹 열람은 APT 정찰 징후로 간주

---

2. 4743 – A Computer Account Was Changed (Moved to Another OU)

• 설명: Active Directory 내 컴퓨터 계정이 다른 조직 단위(OU)로 이동됨
• 중요성: 공격자가 탐지를 우회하기 위해 보안 정책이 다른 OU로 시스템을 이동시킬 수 있음
• 활용:
  • 누가, 어떤 시스템을, 어디서 어디로 이동시켰는지를 로그로 파악
  • 보안 정책이 완화된 OU로 이동하는 패턴은 악의적인 조작일 수 있음
• 예시: EDR 정책이 적용된 OU에서 ‘미적용’ OU로 감염된 컴퓨터 계정이 이동됨
• 대응/탐지:
  • 민감 OU(예: ‘Workstations’, ‘Servers’)의 계정 이동 실시간 감시
  • 컴퓨터 계정 이동 권한은 최소한으로 제한

---

🧩 탐지 전략 요약 (SIEM 적용 포인트)

• ✔ 4798 이벤트는 공격자의 정보 수집 활동(PRE-ATT&CK) 식별에 핵심
• ✔ 4743 이벤트는 보안 정책 우회 또는 은폐 시도로 이어질 수 있어 고위험
• ✔ 고권한 사용자 정보 열람, 감염된 시스템 OU 이동은 초기 침투 후 정찰 및 확산 단계 지표