在資安事件調查中,Security Log(安全日誌)是最直接的技術歸因來源。它精確記錄「誰、何時、做了什麼」,是偵測與鑑識不可或缺的核心資料。
Security Log 的技術記錄範疇
Security Log 專注於記錄系統層級的安全事件,涵蓋三大核心類別:帳號操作(建立、刪除、密碼變更)、權限變更(群組成員異動、特權提升)、以及規則啟用(稽核政策修改、防火牆規則異動)。每筆紀錄包含事件 ID、時間戳記、主體識別(Subject)、目標物件(Object)與操作結果。
以 Windows 事件為例,Event ID 4720(帳號建立)、4728(加入安全群組)、4719(稽核政策變更)是鑑識中最常查閱的關鍵事件。這些日誌提供可驗證的技術事實,構成數位鑑識的第一手證據。
技術歸因與鑑識限制
技術歸因(Technical Attribution)是 Security Log 的核心價值:它能確立「哪個帳號,在何時,執行了哪項操作」的技術事實鏈。分析人員可透過關聯多筆事件,重建攻擊者的橫向移動路徑或內部威脅行為軌跡。
然而,Security Log 不涵蓋行政授權判斷與合規性評估。「此操作是否經過主管核准」或「是否符合 ISO 27001 控制要求」屬於治理層面,超出日誌技術範疇。鑑識人員須區分「技術上發生了什麼」與「組織政策是否允許」兩個維度。
// PowerShell:篩選關鍵帳號操作事件
Get-WinEvent -LogName Security |
Where-Object { $_.Id -in @(4720, 4728, 4719) } |
Select-Object TimeCreated, Id, Message |
Export-Csv -Path ".\audit_report.csv" -Encoding UTF8
💡 重點整理
- 記錄範疇:帳號操作、權限變更、規則啟用為三大核心類別。
- 技術歸因:提供可驗證的「誰、何時、做了什麼」技術事實鏈。
- 鑑識限制:不判斷行政授權或合規性,僅反映技術層面事實。
- 關鍵 Event ID:4720、4728、4719 是 Windows 環境鑑識必查項目。
Security Log 是偵測與鑑識的技術基石。精確掌握其記錄範疇與歸因邊界,才能在事件調查中有效區分技術事實與合規判斷,提升鑑識結論的可信度。
📚 參考文獻
- Microsoft Learn — Security Auditing Overview(Windows 安全稽核官方文件)
- NIST SP 800-92 — Guide to Computer Security Log Management(日誌管理權威指南)
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言