# \[Cheat Sheet] ТОП-10 событий для мониторинга
Журнал и EventIDНазвание событияОписание и полезность
Security 4688
Sysmon 1		Создание нового процессаРегистрирует запуск новых процессов. Позволяет выявлять наличие подозрительных или неизвестных исполняемых файлов, подозрительные строки запуска, использование LolBas.
Sysmon позволяет анализировать хеши и метаинформацию исполняемых файлов.
Security 4624Успешный вход в системуПозволяет отслеживать успешные аутентификации, в том числе аномальные, например неинтерактивные, с необычных узлов или необычным способом.
Security 4625Неудачная попытка входа в системуПозволяет выявлять атаки методом перебора: BruteForce и Password Spraying. Следует проверять EventID 4624 для выявления успешных попыток после множества неудачных 4625.
Security 5140, 5145Доступ к сетевому ресурсуПоказывает, кто и к каким сетевым ресурсам обращался. Указывает на доступ к объектам в сети (файлам, папкам) или именованным каналам. Позволяет обнаруживать горизонтальное перемещение через RPC.
Security 5156
Sysmon 3		Фильтрация сетевых подключенийПоказывает, какие сетевые подключения были разрешены или установлены.
Само по сете для обнаружения подозрительных IP или портов может быть не очень полезно.
Чаще используется в связке в другими событиями, для выявления более сложных сценариев, эксплуатации уязвимостей, обратных шеллов...
Security 4103/4104 (4104 более распространён для скрипт-блоков)Выполнение PowerShell-скриптов и командПоказывает выполнение команд или скриптов в PowerShell. Позволяет проанализировать полное тело скрипта и проверять на наличие вредоносных команд или командлетов.
Security 4697, System 7045Установка службыПоказывает установку новой службы или изменение конфигурации существующей. Службы используются атакующими для закрепления или повышения привилегий.
Security 4698Создание планировщика задачПоказывает создание новой задачи в планировщике. Аналогично, используются для закрепления или повышения привилегий. Как и службы могут использоваться при горизонтальном перемещении.
[TODO: ссылка на материал по impacket]
Security 4720Создание учетной записи пользователяПоказывает создание новой учетной записи локальной или доменной. После имеет смысл проверить добавление в группы или изменение прав.
Sysmon EID 12,13Создание и изменение параметров реестраМониторинг изменения в реестре, позволяет обнаружить закрепление или изменение конфигураций.
Sysmon EID 11Создание файловПозволяет обнаруживать создание Web-шеллов или вредоносных исполняемых файлов, скриптов
Sysmon EID 17, 18Создание и подключение к именованным каналамПозволяет обнаруживать различные способы повышения привилегий: Named Pipe Impersonation или Potato Exploits.
Windows Ultimate Security содержит примеры и описание всех событий безопасности: {% embed url="" %} ### Термины: * **LOLBAS**: *Living Off the Land Binaries and Scripts* (например, `certutil.exe`, `bitsadmin` - использование утилит ОС для выполнение вредоносных действий). * **RPC**: *Remote Procedure Call* (удаленный вызов процедур - обычно применяется для горизонтального перемещения). * **C2**: *Command and Control* (управляющий сервер, посылает команды вредоносному ПО, которые необходимо исполнить на зараженном узле). * **SMB**: *Server Message Block* (протокол доступа к общим сетевым ресурсам и не только). --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://vasilisa-l.gitbook.io/blue-team-cookbook/windows/top-events-to-monitor.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.