O que é o Evento ID 4624 do Windows? – Logon Bem-sucedido

Tutoriais

O que é o ID do Evento 4624 do Windows? – Logon Bem-sucedido. O ID do Evento 4624 do Windows, frequentemente chamado de evento de Logon Bem-sucedido, é um componente pivotal dos Logs de Eventos de Segurança do Windows que é uma ferramenta integral para monitorar e proteger sistemas de computadores. Este código de evento é gerado pelo sistema. Sempre que um usuário faz login com sucesso em um sistema baseado em Windows, fornecendo insights cruciais sobre as atividades do usuário e privilégios de acesso. Ao examinar o Evento ID 4624 e seus detalhes associados, os profissionais de segurança cibernética entendem quem ganhou acesso a um sistema, quando ocorreu e de qual fonte. Essas informações são inestimáveis para identificar e responder prontamente a ameaças de segurança e manter a integridade e segurança do ambiente digital de uma organização.

Vamos começar O que é o ID do Evento 4624 do Windows? – Logon Bem-sucedido.

Leia também Configurar e Gerenciar o Firewall do Windows para seu Servidor Windows

O que é o ID do Evento 4624 do Windows? – Logon Bem-sucedido

Cada tentativa bem-sucedida de acessar um computador local é registrada pelo ID do Evento 4624, que podemos ver no Visualizador de Eventos do Windows. Em outras palavras, onde o sistema estabelece um evento, o sistema gera o evento no acesso ao computador. O ID do Evento 4625 registra tentativas falhas de login em um incidente conectado.

Leia também O que é o ID 4740 do Log de Eventos do Windows? – Uma Conta de Usuário Foi Bloqueada

Visão geral dos Campos do Evento

 As informações vitais que derivamos do Evento 4624 incluem:Tipo de Logon: Este campo revela o método de login do usuário, destacando como o usuário acessou o sistema. Entre os nove tipos de logon, os mais prevalentes são o tipo de logon 2 (interativo) e o tipo 3 (rede), enquanto qualquer tipo de logon diferente de 5 (indicando um início de serviço) deve levantar preocupações. Mais elaboração sobre os tipos de logon segue mais adiante no artigo.

  • Tipo de Logon: Este campo revela o método de login do usuário, destacando como o usuário acessou o sistema. Entre os nove tipos de logon, os mais prevalentes são o tipo de logon 2 (interativo) e o tipo 3 (rede), enquanto qualquer tipo de logon que não seja 5 (indicando um início de serviço) deve levantar preocupações. Mais detalhes sobre os tipos de logon seguem mais adiante no artigo.
  • Novo Logon: Neste segmento, descobrimos o Nome da Conta associado a cada novo logon criado pelo sistema, juntamente com o ID de Logon correspondente, um valor hexadecimal que auxilia na correlação deste evento com outros.

Outras Informações do Evento ID 4624

  • Sujeito: Revela a conta no sistema local (não o usuário) que iniciou a solicitação de logon.
  • Nível de Impersonação: Esta seção indica como um processo dentro da sessão de logon se faz passar por um cliente, influenciando as operações que um servidor realiza dentro do contexto do cliente.
  • Informações do Processo: Detalhes sobre o processo que fez a tentativa de logon.
  • Informações da Rede: Revela o local de onde o usuário fez login. No caso de um login iniciado pelo usuário a partir do mesmo computador, estas informações podem estar vazias ou exibir o nome do computador local e o endereço de rede de origem.
  • Informações de Autenticação: Informações sobre o pacote de autenticação utilizado para o processo de login.

Também Leia Experimente a Ferramenta de Relatórios de Usuários do Active Directory InfraSOS

Deteção e Prevenção de Ameaças com Evento 4624

A detecção e prevenção de ameaças são fundamentais para proteger sistemas de computadores e redes contra atividades maliciosas. O Evento ID 4624, um componente fundamental dos Registros de Eventos de Segurança do Windows, é essencial nesse esforço. Ele indica um evento de logon bem-sucedido, oferecendo insights sobre as atividades do usuário e ajudando os profissionais de segurança a identificar e responder a ameaças potenciais em tempo real. Ao analisar o Evento ID 4624 e seus dados associados, as organizações fortalecem proativamente sua postura de cibersegurança, detectam e mitigam prontamente tentativas de acesso não autorizadas, e garantem a integridade e confidencialidade de seus ativos digitais.

Tipos de Logon do Windows

O Windows suporta vários tipos de logon, cada um servindo a um propósito específico e método de autenticação. Aqui está uma lista dos tipos de logon padrão do Windows juntamente com suas descrições:

  1. Logon Interativo (Tipo 2): Usado quando um usuário faz login diretamente no computador ou via desktop remoto. Esse tipo de logon requer um nome de usuário e senha.
  2. Logon de Rede (Tipo 3): Ocorre ao acessar recursos de rede em outro computador. O sistema envia as credenciais para o servidor remoto para autenticação.
  3. Logon em lote (Tipo 4): Para tarefas agendadas ou trabalhos em lote em execução sob uma conta de usuário especificada; não interativo.
  4. Logon de Serviço (Tipo 5): Usado por serviços do Windows, iniciando automaticamente ou manualmente com o Gerenciador de Controle de Serviço.
  5. Logon de Desbloqueio (Tipo 7): Gerado ao desbloquear uma estação de trabalho previamente bloqueada; não são necessárias novas credenciais.
  6. Logon de Texto Limpo em Rede (Tipo 8): Raro e inseguro; envia credenciais em texto limpo pela rede.
  7. Logon de Novas Credenciais (Tipo 9): Ocorre ao fornecer credenciais diferentes para acessar recursos de rede.
  8. Logon Interativo Remoto (Tipo 10): Usado para conexões de desktop remoto.
  9. Logon Interativo em Cache (Tipo 11): Usar credenciais em cache quando não conectado à rede permite autenticação local.
  10. Logon Interativo Remoto em Cache (Tipo 12): Semelhante ao logon interativo em cache, mas para conexões remotas.
  11. Desbloqueio Interativo em Cache (Tipo 13): Gerado ao desbloquear um computador com credenciais em cache offline.
  12. Logon com Credenciais em Cache (Tipo 14): Este tipo de logon usa aplicativos ou serviços que acessam recursos de rede com credenciais em cache.
  13. Logon com Credenciais Remotas em Cache (Tipo 15): Semelhante ao logon com credenciais em cache, mas para acesso remoto.
  14. Desbloqueio (Tipo 21): Ocorre ao desbloquear uma estação de trabalho anteriormente bloqueada.

Esses tipos de logon são essenciais para auditoria e análise de segurança para monitorar a atividade do usuário e possíveis violações de segurança.

Logons Bem-Sucedidos Suspeitos

Agora que discutimos os diferentes tipos de métodos de logon do Windows, começamos a analisar quais IDs de Evento 4624 são registrados por um perpetrador malicioso. Aqui estão alguns dos exemplos abaixo:

  • <Evento ID 4624 com tipo de logon 10 (logins RemoteInteractive) e o endereço de rede de origem é loopback (127.*.*.* ou ::1), principalmente tunelamento RDP.
  • Evento ID 4624 tipo de logon 10 (Logins RemoteInteractive) e a rede de origem não está na Sub-rede da nossa organização.
  • Evento ID 4624, tipo de logon (3 e 10), nomes de estações de trabalho de origem e destino são máquinas de usuários finais.
  • Evento ID 4624, com tipos de logon (2 e 10) e um nome de conta terminando com $, como ItSupport$, é uma possível conta de máquina falsa.
  • Evento ID 4624 com mais de um logon bem-sucedido com tipos de logon 3 e 10 do mesmo nome de conta e endereço de rede de origem diferente é considerado suspeito.
  • Evento ID 4624 e tipos de logon (2, 10 e 7) e nomes de conta como contas de serviço internas (svc_*), Possível logon interativo de uma conta de serviço.

Na busca incansável pela cibersegurança, a vigilância necessária para monitorar e responder a eventos de logon bem-sucedidos suspeitos, frequentemente indicativos de acesso não autorizado ou malicioso, permanece um esforço crucial e contínuo.

Também Leia Tente InfraSOS Active Directory Reporting & Auditing Tool

Obtenha o registro de eventos para o ID do evento 4624 usando o PowerShell

Assim como qualquer outra interface gráfica do usuário (GUI) no sistema operacional Windows, acessamos informações por meio de comandos de interface de linha de comando (CLI), como os disponíveis no Windows PowerShell. Para obter logs de eventos relacionados ao ID do evento 4624, o PowerShell nos fornece cmdlets convenientes como Get-EventLog e Get-WinEvent. Vamos demonstrar como recuperar logs de eventos para o ID do evento 4624 usando o comando Get-EventLog no PowerShell.

$currentDate = [DateTime]::Now.AddDays(-1)
Get-EventLog -LogName "Security" -After $currentDate | Where -FilterScript {$_.EventID -eq 4624}

No syntax acima:

  • Get-EventLog obtém eventos do ID 4624 para a data especificada usando a variável $currentDate.
  • Ele utiliza o parâmetro LogName para determinar o nome do log do evento, como Segurança
  • Todos os IDs de Evento são filtrados para serem iguais a 4624 usando o parâmetro FilterScript.

Também obtemos logs de eventos para o ID de evento 4624 usando o comando Get-WinEvent no PowerShell:

Get-WinEvent -FilterHashtable @{LogName = 'Security'; ID = 4624}

No script do Windows PowerShell acima,

  • Get-WinEvent obtém o log de eventos para o ID de evento 4624.
  • Ele usa o parâmetro FilterHashtable e LogName como Segurança para trazer esses eventos

Utilizar o cmdlet de evento do PowerShell para recuperar entradas do ID de Evento 4624 oferece um meio poderoso de monitorar e responder a eventos de logon bem-sucedidos, possibilitando a detecção proativa e a mitigação de ameaças à segurança potenciais na paisagem cibernética em constante evolução.

Obrigado por ler O que é o ID do evento do Windows 4624? – Logon bem-sucedido. Vamos concluir este artigo.

Também leia Práticas recomendadas de segurança do Windows Server: Proteja seu ambiente do Windows Server

Obrigado por ler O que é o ID do evento do Windows 4624? – Logon bem-sucedido. Concluímos este artigo.

O que é o ID do evento do Windows 4624? – Conclusão do Logon bem-sucedido

Em conclusão, o ID do evento do Windows 4624 é um pilar fundamental de segurança e monitoramento do sistema. É uma ferramenta indispensável para rastrear e compreender o acesso do usuário a ambientes baseados no Windows, oferecendo insights valiosos sobre eventos de login, fornecendo informações sobre quem obtém acesso, quando ocorre e de onde. O ID do evento 4624 capacita profissionais de cibersegurança a fortalecer a postura de segurança de seus sistemas e responder rapidamente a ameaças potenciais. É um componente essencial no arsenal de medidas de segurança, garantindo a integridade e confidencialidade dos ativos digitais, ao mesmo tempo em que permite a detecção e prevenção proativa de ameaças.

Source:
https://infrasos.com/what-is-windows-event-id-4624-successful-logon-2/