Как да интерпретирате събитие за сигурност на Windows ID 4688 в разследване

За да интерпретирате събитие ID 4688, е важно да разберете различните полета, включени в регистрационния файл на събитията. Тези полета могат да се използват за откриване на всякакви нередности и проследяване на произхода на процеса до неговия източник.

• Тема на създателя: това поле предоставя информация за потребителския акаунт, който е поискал създаването на нов процес. Това поле предоставя контекст и може да помогне на криминалистите да идентифицират аномалии. То включва няколко подполета, включително:

• • Идентификатор за сигурност (SID)” Според Microsoft, SID е уникална стойност, използвана за идентифициране на попечител. Използва се за идентифициране на потребители на Windows машина.
  • Име на акаунт: SID е разрешен да показва името на акаунта, който е инициирал създаването на новия процес.
  • Домейн на акаунта: домейнът, към който принадлежи компютърът.
  • ID за влизане: уникална шестнадесетична стойност, която се използва за идентифициране на сесията за влизане на потребителя. Може да се използва за корелиране на събития, които съдържат един и същ идентификатор на събитие.

• Target Subject: това поле предоставя информация за потребителския акаунт, под който се изпълнява процесът. Субектът, споменат в събитието за създаване на процес, може при някои обстоятелства да бъде различен от субекта, споменат в събитието за прекратяване на процеса. Така че, когато създателят и целта нямат едно и също влизане, важно е да включите целевия субект, въпреки че и двамата препращат към един и същ идентификатор на процес. Подполетата са същите като тези на темата на създателя по-горе.
• Информация за процеса: това поле предоставя подробна информация за създадения процес. То включва няколко подполета, включително:

• • Нов идентификатор на процес (PID): уникална шестнадесетична стойност, присвоена на новия процес. Операционната система Windows го използва, за да следи активните процеси.
  • Име на нов процес: пълният път и име на изпълнимия файл, който е стартиран за създаване на новия процес.
  • Тип оценка на токена: оценката на токена е защитен механизъм, използван от Windows, за да определи дали даден потребителски акаунт е упълномощен да извърши определено действие. Типът токен, който процесът ще използва, за да поиска повишени привилегии, се нарича „тип оценка на токена“. Има три възможни стойности за това поле. Тип 1 (%%1936) означава, че процесът използва потребителския маркер по подразбиране и не е поискал никакви специални разрешения. За това поле това е най-често срещаната стойност. Тип 2 (%%1937) означава, че процесът е поискал пълни администраторски привилегии за изпълнение и е успял да ги получи. Когато потребител стартира приложение или процес като администратор, той е активиран. Тип 3 (%%1938) означава, че процесът е получил само правата, необходими за извършване на исканото действие, въпреки че е поискал повишени привилегии.

• • Задължителен етикет: етикет за интегритет, присвоен на процеса. 
  • Creator Process ID: уникална шестнадесетична стойност, присвоена на процеса, който е инициирал новия процес. 
  • Creator Process Name: пълен път и име на процеса, който е създал новия процес.
  • Команден ред на процеса: предоставя подробности за аргументите, предадени в командата за иницииране на новия процес. Той включва няколко подполета, включително текущата директория и хешове.