O que é o ID do Evento 4624 do Windows? – Logon Bem-Sucedido

Tutoriais

Qual é o ID do Evento do Windows 4624? – Logon Bem-Sucedido. O Evento ID 4624 do Windows, frequentemente chamado de evento de Logon Bem-Sucedido, é um componente fundamental dos Registos de Eventos de Segurança do Windows que é uma ferramenta essencial para monitorar e proteger sistemas de computador. Este código de evento é gerado pelo sistema. Sempre que um usuário faz login com sucesso em um sistema baseado no Windows, fornecendo insights cruciais sobre as atividades do usuário e privilégios de acesso. Ao examinar o Evento ID 4624 e seus detalhes associados, os profissionais de cibersegurança entendem quem ganhou acesso a um sistema, quando ocorreu e de qual origem. Esta informação é inestimável para identificar e responder prontamente a ameaças de segurança e manter a integridade e segurança do ambiente digital de uma organização.

Vamos começar O que é o Evento ID 4624 do Windows? – Logon Bem-Sucedido.

O que é o ID do Evento do Windows 4624? – Logon Bem-Sucedido

Cada tentativa bem-sucedida de iniciar sessão em um computador local é registrada pelo ID de Evento 4624, que vemos no Visualizador de Eventos do Windows. Em outras palavras, onde o sistema estabelece um evento, o sistema gera o evento no acesso ao computador. O ID de Evento 4625 registra tentativas fracassadas de iniciar sessão em um incidente conectado.

Também leia O que é o ID de Log de Evento 4740 do Windows? – Uma Conta de Usuário foi Bloqueada

Visão geral dos Campos de Evento

As informações vitais que derivamos do Evento 4624 incluem:

Tipo de Logon: Este campo revela o método de login do usuário, destacando como o usuário acessou o sistema. Entre os nove tipos de logon, os mais prevalentes são o tipo de logon 2 (interativo) e o tipo 3 (rede), enquanto qualquer tipo de logon diferente de 5 (indicando um início de serviço) deve levantar preocupações. Uma elaboração adicional sobre os tipos de logon segue mais tarde no artigo.
Novo Logon: Neste segmento, descobrimos o Nome da Conta associado a cada novo logon criado pelo sistema, juntamente com o ID de Logon correspondente, um valor hexadecimal que ajuda a cruzar este evento com outros.

Outras Informações do ID do Evento 4624

Sujeito: Revela a conta no sistema local (não o usuário) que iniciou a solicitação de logon.
Nível de Impersonação: Esta seção indica como um processo dentro da sessão de logon se faz passar por um cliente, influenciando as operações que um servidor executa dentro do contexto do cliente.
Informações do Processo: Detalhes sobre o processo que tentou fazer o logon.
Informações da Rede: Revela a localização de onde o usuário fez login. No caso de um login iniciado pelo usuário a partir do mesmo computador, essas informações podem estar vazias ou exibir o nome da estação de trabalho do computador local e o endereço da rede de origem.
Informações de Autenticação: Informações sobre o pacote de autenticação utilizado no processo de login.

Deteção e Prevenção de Ameaças com o Evento 4624

A detecção e prevenção de ameaças são fundamentais para proteger sistemas de computadores e redes contra atividades maliciosas. O Evento ID 4624, um componente fundamental dos Registos de Segurança do Windows, é crucial nesse esforço. Ele indica um evento de logon bem-sucedido, oferecendo insights sobre as atividades do usuário e ajudando os profissionais de segurança a identificar e responder a ameaças potenciais em tempo real. Ao analisar o Evento ID 4624 e seus dados associados, as organizações fortalecem proativamente sua postura de cibersegurança, detectam e mitigam prontamente tentativas de acesso não autorizadas, e garantem a integridade e confidencialidade de seus ativos digitais.

Tipos de Logon do Windows

O Windows suporta vários tipos de logon, cada um servindo a um propósito específico e método de autenticação. Aqui está uma lista dos tipos de logon padrão do Windows juntamente com suas descrições:

Logon Interativo (Tipo 2): Usado quando um usuário faz login diretamente no computador ou via desktop remoto. Esse tipo de logon requer um nome de usuário e senha.
Logon de Rede (Tipo 3): Ocorre ao acessar recursos de rede em outro computador. O sistema envia as credenciais para o servidor remoto para autenticação.
Logon em Lote (Tipo 4): Para tarefas agendadas ou trabalhos em lote em execução sob uma conta de usuário especificada; não interativo.
Logon de Serviço (Tipo 5): Usado por serviços do Windows, iniciando automaticamente ou manualmente com o Gerenciador de Controle de Serviço.
Logon de Desbloqueio (Tipo 7): Gerado ao desbloquear uma estação de trabalho previamente bloqueada; não são necessárias novas credenciais.
Logon de Texto Limpo em Rede (Tipo 8): Raro e inseguro; envia credenciais em texto limpo pela rede.
Logon de Novas Credenciais (Tipo 9): Ocorre ao fornecer diferentes credenciais para acessar recursos de rede.
Logon Interativo Remoto (Tipo 10): Usado para conexões de desktop remoto.
Logon Interativo em Cache (Tipo 11): Usar credenciais em cache quando não conectado à rede permite autenticação local.
Logon Interativo Remoto em Cache (Tipo 12): Semelhante ao logon interativo em cache, mas para conexões remotas.
Desbloqueio de Logon em Cache (Tipo 13): Gerado ao desbloquear um computador com credenciais em cache offline.
Logon de Credencial em Cache (Tipo 14): Este tipo de logon usa aplicativos ou serviços que acessam recursos de rede com credenciais em cache.
Logon de Credencial Remota em Cache (Tipo 15): Semelhante ao logon de credencial em cache, mas para acesso remoto.
Desbloqueio (Tipo 21): Ocorre ao desbloquear uma estação de trabalho previamente bloqueada.

Esses tipos de logon são essenciais para auditoria e análise de segurança para monitorar a atividade do usuário e possíveis violações de segurança.

Logons Bem-Sucedidos Suspeitos

Agora que discutimos os diferentes métodos de logon do Windows, começamos a analisar quais IDs de Evento 4624 são registrados por um perpetrador malicioso. Aqui estão alguns dos exemplos abaixo:

<Evento ID 4624 com tipo de logon 10 (logins RemoteInteractive) e o endereço de rede de origem é loopback (127.*.*.* ou ::1), principalmente tunelamento RDP.
Evento ID 4624 tipo de logon 10 (Logins RemoteInteractive) e a rede de origem não está na Sub-rede da nossa organização.
Evento ID 4624, tipo de logon (3 e 10), nomes de estações de trabalho de origem e destino são máquinas de usuários finais.
Evento ID 4624, com tipos de logon (2 e 10) e um nome de conta terminando com $, como ItSupport$, é uma possível conta de máquina falsa.
Evento ID 4624 com mais de um logon bem-sucedido com tipos de logon 3 e 10 do mesmo nome de conta e endereço de rede de origem diferente é considerado suspeito.
Evento ID 4624 e tipos de logon (2, 10 e 7) e nomes de conta como contas de serviço internas (svc_*), Possível logon interativo de uma conta de serviço.

Na busca incessante pela cibersegurança, a vigilância necessária para monitorar e responder a eventos de logon bem-sucedidos suspeitos, frequentemente indicativos de acesso não autorizado ou malicioso, permanece um esforço crucial e contínuo.

Também leia Experimente a Ferramenta de Relatórios e Auditoria do Active Directory InfraSOS

Obtenha o log de eventos para o ID do evento 4624 usando o PowerShell

Assim como qualquer outra interface gráfica do usuário (GUI) no sistema operacional Windows, acessamos informações por meio de comandos de interface de linha de comando (CLI), como os disponíveis no Windows PowerShell. Para obter logs de eventos relacionados ao ID do evento 4624, o PowerShell nos fornece cmdlets convenientes como Get-EventLog e Get-WinEvent. Vamos demonstrar como recuperar logs de eventos para o ID do evento 4624 usando o comando Get-EventLog no PowerShell.

$currentDate = [DateTime]::Now.AddDays(-1)
Get-EventLog -LogName "Security" -After $currentDate | Where -FilterScript {$_.EventID -eq 4624}

No syntax acima:

Get-EventLog obtém eventos do ID 4624 para a data especificada usando a variável $currentDate.
Ele usa o parâmetro LogName para determinar o nome do log do evento, como Segurança
Todos os IDs de evento são filtrados iguais a 4624 usando o parâmetro FilterScript.

Também obtemos logs de eventos para o ID do evento 4624 usando o comando Get-WinEvent no PowerShell:

Get-WinEvent -FilterHashtable @{LogName = 'Security'; ID = 4624}

No script do Windows PowerShell acima,

Get-WinEvent obtém o log do evento para o ID do evento 4624.
Ele usa o parâmetro FilterHashtable e LogName como Segurança para trazer esses eventos

O uso do cmdlet de evento do PowerShell para recuperar entradas do ID do evento 4624 fornece um meio poderoso de monitorar e responder a eventos de logon bem-sucedidos, permitindo a detecção proativa e a mitigação de possíveis ameaças de segurança no cenário de cibersegurança em constante evolução.

Obrigado por ler O que é o ID do Evento do Windows 4624? – Logon bem-sucedido. Vamos concluir este artigo.

Também leia Boas práticas de segurança do Windows Server: proteja seu ambiente do Windows Server

Obrigado por ler O que é o ID do Evento do Windows 4624? – Logon bem-sucedido. Concluímos este artigo.

O que é o ID do Evento do Windows 4624? – Conclusão do Logon bem-sucedido

Em conclusão, o ID do Evento do Windows 4624 é um pilar fundamental de segurança e monitoramento do sistema. É uma ferramenta indispensável para rastrear e compreender o acesso do usuário a ambientes baseados no Windows, oferecendo informações valiosas sobre eventos de login, fornecendo informações sobre quem obtém acesso, quando ocorre e de onde. O Evento ID 4624 capacita profissionais de cibersegurança a fortalecerem a postura de segurança de seus sistemas e a responderem rapidamente a ameaças potenciais. É um componente essencial no arsenal de medidas de segurança, garantindo a integridade e a confidencialidade dos ativos digitais, ao mesmo tempo que permite a detecção e prevenção proativas de ameaças.

Source:
https://infrasos.com/what-is-windows-event-id-4624-successful-logon-2/