精华内容
下载资源
问答
  • windows安全事件id汇总 Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中...

    windows安全事件id汇总

    Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。
    日志路径:C:\Windows\System32\winevt\Logs
    查看日志:Security.evtx、System.evtx、Application.evtx

    常用安全事件ID:
    系统:
    1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
    6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
    104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。
    安全:
    4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
    4625,这个事件ID表示登陆失败的用户。
    4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
    4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

    安全事件ID汇总备查:

    
    EVENT_ID	           安全事件信息
    1100	-----      事件记录服务已关闭
    1101	-----      审计事件已被运输中断。
    1102	-----      审核日志已清除
    1104	-----      安全日志现已满
    1105	-----      事件日志自动备份
    1108	-----      事件日志记录服务遇到错误
    4608	-----      Windows正在启动
    4609	-----      Windows正在关闭
    4610	-----      本地安全机构已加载身份验证包
    4611	-----      已向本地安全机构注册了受信任的登录进程
    4612	-----      为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。
    4614	-----      安全帐户管理器已加载通知包。
    4615	-----      LPC端口使用无效
    4616	-----      系统时间已更改。
    4618	-----      已发生受监视的安全事件模式
    4621	-----      管理员从CrashOnAuditFail恢复了系统
    4622	-----      本地安全机构已加载安全包。
    4624	-----      帐户已成功登录
    4625	-----      帐户无法登录
    4626	-----      用户/设备声明信息
    4627	-----      集团会员信息。
    4634	-----      帐户已注销
    4646	-----      IKE DoS防护模式已启动
    4647	-----      用户启动了注销
    4648	-----      使用显式凭据尝试登录
    4649	-----      检测到重播攻击
    4650	-----      建立了IPsec主模式安全关联
    4651	-----      建立了IPsec主模式安全关联
    4652	-----      IPsec主模式协商失败
    4653	-----      IPsec主模式协商失败
    4654	-----      IPsec快速模式协商失败
    4655	-----      IPsec主模式安全关联已结束
    4656	-----      请求了对象的句柄
    4657	-----      注册表值已修改
    4658	-----      对象的句柄已关闭
    4659	-----      请求删除对象的句柄
    4660	-----      对象已删除
    4661	-----      请求了对象的句柄
    4662	-----      对对象执行了操作
    4663	-----      尝试访问对象
    4664	-----      试图创建一个硬链接
    4665	-----      尝试创建应用程序客户端上下文。
    4666	-----      应用程序尝试了一个操作
    4667	-----      应用程序客户端上下文已删除
    4668	-----      应用程序已初始化
    4670	-----      对象的权限已更改
    4671	-----      应用程序试图通过TBS访问被阻止的序号
    4672	-----      分配给新登录的特权
    4673	-----      特权服务被召唤
    4674	-----      尝试对特权对象执行操作
    4675	-----      SID被过滤掉了
    4688	-----      已经创建了一个新流程
    4689	-----      一个过程已经退出
    4690	-----      尝试复制对象的句柄
    4691	-----      请求间接访问对象
    4692	-----      尝试备份数据保护主密钥
    4693	-----      尝试恢复数据保护主密钥
    4694	-----      试图保护可审计的受保护数据
    4695	-----      尝试不受保护的可审计受保护数据
    4696	-----      主要令牌已分配给进程
    4697	-----      系统中安装了一项服务
    4698	-----      已创建计划任务
    4699	-----      计划任务已删除
    4700	-----      已启用计划任务
    4701	-----      计划任务已禁用
    4702	-----      计划任务已更新
    4703	-----      令牌权已经调整
    4704	-----      已分配用户权限
    4705	-----      用户权限已被删除
    4706	-----      为域创建了新的信任
    4707	-----      已删除对域的信任
    4709	-----      IPsec服务已启动
    4710	-----      IPsec服务已禁用
    4711	-----      PAStore引擎(1%)
    4712	-----      IPsec服务遇到了潜在的严重故障
    4713	-----      Kerberos策略已更改
    4714	-----      加密数据恢复策略已更改
    4715	-----      对象的审核策略(SACL)已更改
    4716	-----      可信域信息已被修改
    4717	-----      系统安全访问权限已授予帐户
    4718	-----      系统安全访问已从帐户中删除
    4719	-----      系统审核策略已更改
    4720	-----      已创建用户帐户
    4722	-----      用户帐户已启用
    4723	-----      尝试更改帐户的密码
    4724	-----      尝试重置帐户密码
    4725	-----      用户帐户已被禁用
    4726	-----      用户帐户已删除
    4727	-----      已创建启用安全性的全局组
    4728	-----      已将成员添加到启用安全性的全局组中
    4729	-----      成员已从启用安全性的全局组中删除
    4730	-----      已删除启用安全性的全局组
    4731	-----      已创建启用安全性的本地组
    4732	-----      已将成员添加到启用安全性的本地组
    4733	-----      成员已从启用安全性的本地组中删除
    4734	-----      已删除已启用安全性的本地组
    4735	-----      已启用安全性的本地组已更改
    4737	-----      启用安全性的全局组已更改
    4738	-----      用户帐户已更改
    4739	-----      域策略已更改
    4740	-----      用户帐户已被锁定
    4741	-----      已创建计算机帐户
    4742	-----      计算机帐户已更改
    4743	-----      计算机帐户已删除
    4744	-----      已创建禁用安全性的本地组
    4745	-----      已禁用安全性的本地组已更改
    4746	-----      已将成员添加到已禁用安全性的本地组
    4747	-----      已从安全性已禁用的本地组中删除成员
    4748	-----      已删除安全性已禁用的本地组
    4749	-----      已创建一个禁用安全性的全局组
    4750	-----      已禁用安全性的全局组已更改
    4751	-----      已将成员添加到已禁用安全性的全局组中
    4752	-----      成员已从禁用安全性的全局组中删除
    4753	-----      已删除安全性已禁用的全局组
    4754	-----      已创建启用安全性的通用组
    4755	-----      启用安全性的通用组已更改
    4756	-----      已将成员添加到启用安全性的通用组中
    4757	-----      成员已从启用安全性的通用组中删除
    4758	-----      已删除启用安全性的通用组
    4759	-----      创建了一个安全禁用的通用组
    4760	-----      安全性已禁用的通用组已更改
    4761	-----      已将成员添加到已禁用安全性的通用组中
    4762	-----      成员已从禁用安全性的通用组中删除
    4763	-----      已删除安全性已禁用的通用组
    4764	-----      组类型已更改
    4765	-----      SID历史记录已添加到帐户中
    4766	-----      尝试将SID历史记录添加到帐户失败
    4767	-----      用户帐户已解锁
    4768	-----      请求了Kerberos身份验证票证(TGT)
    4769	-----      请求了Kerberos服务票证
    4770	-----      更新了Kerberos服务票证
    4771	-----      Kerberos预身份验证失败
    4772	-----      Kerberos身份验证票证请求失败
    4773	-----      Kerberos服务票证请求失败
    4774	-----      已映射帐户以进行登录
    4775	-----      无法映射帐户以进行登录
    4776	-----      域控制器尝试验证帐户的凭据
    4777	-----      域控制器无法验证帐户的凭据
    4778	-----      会话重新连接到Window Station
    4779	-----      会话已与Window   Station断开连接
    4780	-----      ACL是在作为管理员组成员的帐户上设置的
    4781	-----      帐户名称已更改
    4782	-----      密码哈希帐户被访问
    4783	-----      创建了一个基本应用程序组
    4784	-----      基本应用程序组已更改
    4785	-----      成员已添加到基本应用程序组
    4786	-----      成员已从基本应用程序组中删除
    4787	-----      非成员已添加到基本应用程序组
    4788	-----      从基本应用程序组中删除了非成员。
    4789	-----      基本应用程序组已删除
    4790	-----      已创建LDAP查询组
    4791	-----      基本应用程序组已更改
    4792	-----      LDAP查询组已删除
    4793	-----      密码策略检查API已被调用
    4794	-----      尝试设置目录服务还原模式管理员密码
    4797	-----      试图查询帐户是否存在空白密码
    4798	-----      枚举了用户的本地组成员身份。
    4799	-----      已枚举启用安全性的本地组成员身份
    4800	-----      工作站已锁定
    4801	-----      工作站已解锁
    4802	-----      屏幕保护程序被调用
    4803	-----      屏幕保护程序被解雇了
    4816	-----      RPC在解密传入消息时检测到完整性违规
    4817	-----      对象的审核设置已更改。
    4818	-----      建议的中央访问策略不授予与当前中央访问策略相同的访问权限
    4819	-----      计算机上的中央访问策略已更改
    4820	-----      Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制
    4821	-----      Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制
    4822	-----      NTLM身份验证失败,因为该帐户是受保护用户组的成员
    4823	-----      NTLM身份验证失败,因为需要访问控制限制
    4824	-----      使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户组的成员
    4825	-----      用户被拒绝访问远程桌面。默认情况下,仅当用户是Remote
                       Desktop Users组或Administrators组的成员时才允许用户进行连接
    4826	-----      加载引导配置数据
    4830	-----      SID历史记录已从帐户中删除
    4864	-----      检测到名称空间冲突
    4865	-----      添加了受信任的林信息条目
    4866	-----      已删除受信任的林信息条目
    4867	-----      已修改受信任的林信息条目
    4868	-----      证书管理器拒绝了挂起的证书请求
    4869	-----      证书服务收到重新提交的证书请求
    4870	-----      证书服务撤销了证书
    4871	-----      证书服务收到发布证书吊销列表(CRL)的请求
    4872	-----      证书服务发布证书吊销列表(CRL)
    4873	-----      证书申请延期已更改
    4874	-----      一个或多个证书请求属性已更改。
    4875	-----      证书服务收到关闭请求
    4876	-----      证书服务备份已启动
    4877	-----      证书服务备份已完成
    4878	-----      证书服务还原已开始
    4879	-----      证书服务恢复已完成
    4880	-----      证书服务已启动
    4881	-----      证书服务已停止
    4882	-----      证书服务的安全权限已更改
    4883	-----      证书服务检索到存档密钥
    4884	-----      证书服务将证书导入其数据库
    4885	-----      证书服务的审核筛选器已更改
    4886	-----      证书服务收到证书请求
    4887	-----      证书服务批准了证书请求并颁发了证书
    4888	-----      证书服务拒绝了证书请求
    4889	-----      证书服务将证书请求的状态设置为挂起
    4890	-----      证书服务的证书管理器设置已更改。
    4891	-----      证书服务中的配置条目已更改
    4892	-----      证书服务的属性已更改
    4893	-----      证书服务存档密钥
    4894	-----      证书服务导入并存档了一个密钥
    4895	-----      证书服务将CA证书发布到Active Directory域服务
    4896	-----      已从证书数据库中删除一行或多行
    4897	-----      启用角色分离
    4898	-----      证书服务加载了一个模板
    4899	-----      证书服务模板已更新
    4900	-----      证书服务模板安全性已更新
    4902	-----      已创建每用户审核策略表
    4904	-----      尝试注册安全事件源
    4905	-----      尝试取消注册安全事件源
    4906	-----      CrashOnAuditFail值已更改
    4907	-----      对象的审核设置已更改
    4908	-----      特殊组登录表已修改
    4909	-----      TBS的本地策略设置已更改
    4910	-----      TBS的组策略设置已更改
    4911	-----      对象的资源属性已更改
    4912	-----      每用户审核策略已更改
    4913	-----      对象的中央访问策略已更改
    4928	-----      建立了Active  Directory副本源命名上下文
    4929	-----      已删除Active  Directory副本源命名上下文
    4930	-----      已修改Active  Directory副本源命名上下文
    4931	-----      已修改Active  Directory副本目标命名上下文
    4932	-----      已开始同步Active  Directory命名上下文的副本
    4933	-----      Active  Directory命名上下文的副本的同步已结束
    4934	-----      已复制Active  Directory对象的属性
    4935	-----      复制失败开始
    4936	-----      复制失败结束
    4937	-----      从副本中删除了一个延迟对象
    4944	-----      Windows防火墙启动时,以下策略处于活动状态
    4945	-----      Windows防火墙启动时列出了规则
    4946	-----      已对Windows防火墙例外列表进行了更改。增加了一条规则
    4947	-----      已对Windows防火墙例外列表进行了更改。规则被修改了
    4948	-----      已对Windows防火墙例外列表进行了更改。规则已删除
    4949	-----      Windows防火墙设置已恢复为默认值
    4950	-----      Windows防火墙设置已更改
    4951	-----      规则已被忽略,因为Windows防火墙无法识别其主要版本号
    4952	-----      已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号
    4953	-----      Windows防火墙已忽略规则,因为它无法解析规则
    4954	-----      Windows防火墙组策略设置已更改。已应用新设置
    4956	-----      Windows防火墙已更改活动配置文件
    4957	-----      Windows防火墙未应用以下规则
    4958	-----      Windows防火墙未应用以下规则,因为该规则引用了此计算机上未配置的项目
    4960	-----      IPsec丢弃了未通过完整性检查的入站数据包
    4961	-----      IPsec丢弃了重放检查失败的入站数据包
    4962	-----      IPsec丢弃了重放检查失败的入站数据包
    4963	-----      IPsec丢弃了应该受到保护的入站明文数据包
    4964	-----      特殊组已分配给新登录
    4965	-----      IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。
    4976	-----      在主模式协商期间,IPsec收到无效的协商数据包。
    4977	-----      在快速模式协商期间,IPsec收到无效的协商数据包。
    4978	-----      在扩展模式协商期间,IPsec收到无效的协商数据包。
    4979	-----      建立了IPsec主模式和扩展模式安全关联。
    4980	-----      建立了IPsec主模式和扩展模式安全关联
    4981	-----      建立了IPsec主模式和扩展模式安全关联
    4982	-----      建立了IPsec主模式和扩展模式安全关联
    4983	-----      IPsec扩展模式协商失败
    4984	-----      IPsec扩展模式协商失败
    4985	-----      交易状态已发生变化
    5024	-----      Windows防火墙服务已成功启动
    5025	-----      Windows防火墙服务已停止
    5027	-----      Windows防火墙服务无法从本地存储中检索安全策略
    5028	-----      Windows防火墙服务无法解析新的安全策略。
    5029	-----      Windows防火墙服务无法初始化驱动程序
    5030	-----      Windows防火墙服务无法启动
    5031	-----      Windows防火墙服务阻止应用程序接受网络上的传入连接。
    5032	-----      Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接
    5033	-----      Windows防火墙驱动程序已成功启动
    5034	-----      Windows防火墙驱动程序已停止
    5035	-----      Windows防火墙驱动程序无法启动
    5037	-----      Windows防火墙驱动程序检测到严重的运行时错 终止
    5038	-----      代码完整性确定文件的图像哈希无效
    5039	-----      注册表项已虚拟化。
    5040	-----      已对IPsec设置进行了更改。添加了身份验证集。
    5041	-----      已对IPsec设置进行了更改。身份验证集已修改
    5042	-----      已对IPsec设置进行了更改。身份验证集已删除
    5043	-----      已对IPsec设置进行了更改。添加了连接安全规则
    5044	-----      已对IPsec设置进行了更改。连接安全规则已修改
    5045	-----      已对IPsec设置进行了更改。连接安全规则已删除
    5046	-----      已对IPsec设置进行了更改。添加了加密集
    5047	-----      已对IPsec设置进行了更改。加密集已被修改
    5048	-----      已对IPsec设置进行了更改。加密集已删除
    5049	-----      IPsec安全关联已删除
    5050	-----      尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙(FALSE
    5051	-----      文件已虚拟化
    5056	-----      进行了密码自检
    5057	-----      加密原语操作失败
    5058	-----      密钥文件操作
    5059	-----      密钥迁移操作
    5060	-----      验证操作失败
    5061	-----      加密操作
    5062	-----      进行了内核模式加密自检
    5063	-----      尝试了加密提供程序操作
    5064	-----      尝试了加密上下文操作
    5065	-----      尝试了加密上下文修改
    5066	-----      尝试了加密功能操作
    5067	-----      尝试了加密功能修改
    5068	-----      尝试了加密函数提供程序操作
    5069	-----      尝试了加密函数属性操作
    5070	-----      尝试了加密函数属性操作
    5071	-----      Microsoft密钥分发服务拒绝密钥访问
    5120	-----      OCSP响应程序服务已启动
    5121	-----      OCSP响应程序服务已停止
    5122	-----      OCSP响应程序服务中的配置条目已更改
    5123	-----      OCSP响应程序服务中的配置条目已更改
    5124	-----      在OCSP  Responder Service上更新了安全设置
    5125	-----      请求已提交给OCSP  Responder Service
    5126	-----      签名证书由OCSP  Responder Service自动更新
    5127	-----      OCSP吊销提供商成功更新了吊销信息
    5136	-----      目录服务对象已修改
    5137	-----      已创建目录服务对象
    5138	-----      目录服务对象已取消删除
    5139	-----      已移动目录服务对象
    5140	-----      访问了网络共享对象
    5141	-----      目录服务对象已删除
    5142	-----      添加了网络共享对象。
    5143	-----      网络共享对象已被修改
    5144	-----      网络共享对象已删除。
    5145	-----      检查网络共享对象以查看是否可以向客户端授予所需的访问权限
    5146	-----      Windows筛选平台已阻止数据包
    5147	-----      限制性更强的Windows筛选平台筛选器阻止了数据包
    5148	-----      Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。
    5149	-----      DoS攻击已经消退,正常处理正在恢复。
    5150	-----      Windows筛选平台已阻止数据包。
    5151	-----      限制性更强的Windows筛选平台筛选器阻止了数据包。
    5152	-----      Windows筛选平台阻止了数据包
    5153	-----      限制性更强的Windows筛选平台筛选器阻止了数据包
    5154	-----      Windows过滤平台允许应用程序或服务在端口上侦听传入连接
    5155	-----      Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
    5156	-----      Windows筛选平台允许连接
    5157	-----      Windows筛选平台已阻止连接
    5158	-----      Windows筛选平台允许绑定到本地端口
    5159	-----      Windows筛选平台已阻止绑定到本地端口
    5168	-----      SMB  / SMB2的Spn检查失败。
    5169	-----      目录服务对象已修改
    5170	-----      在后台清理任务期间修改了目录服务对象
    5376	-----      已备份凭据管理器凭据
    5377	-----      Credential  Manager凭据已从备份还原
    5378	-----      策略不允许请求的凭据委派
    5440	-----      Windows筛选平台基本筛选引擎启动时出现以下callout
    5441	-----      Windows筛选平台基本筛选引擎启动时存在以下筛选器
    5442	-----      Windows筛选平台基本筛选引擎启动时,存在以下提供程序
    5443	-----      Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文
    5444	-----      Windows筛选平台基本筛选引擎启动时,存在以下子层
    5446	-----      Windows筛选平台标注已更改
    5447	-----      Windows筛选平台筛选器已更改
    5448	-----      Windows筛选平台提供程序已更改
    5449	-----      Windows筛选平台提供程序上下文已更改
    5450	-----      Windows筛选平台子层已更改
    5451	-----      建立了IPsec快速模式安全关联
    5452	-----      IPsec快速模式安全关联已结束
    5453	-----      与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP  IPsec密钥模块(IKEEXT)服务
    5456	-----      PAStore引擎在计算机上应用了Active  Directory存储IPsec策略
    5457	-----      PAStore引擎无法在计算机上应用Active  Directory存储IPsec策略
    5458	-----      PAStore引擎在计算机上应用了Active  Directory存储IPsec策略的本地缓存副本
    5459	-----      PAStore引擎无法在计算机上应用Active  Directory存储IPsec策略的本地缓存副本
    5460	-----      PAStore引擎在计算机上应用了本地注册表存储IPsec策略
    5461	-----      PAStore引擎无法在计算机上应用本地注册表存储IPsec策略
    5462	-----      PAStore引擎无法在计算机上应用某些活动IPsec策略规则
    5463	-----      PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改
    5464	-----      PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务
    5465	-----      PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件
    5466	-----      PAStore引擎轮询Active  Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory
    IPsec策略的缓存副本
    5467	-----      PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改
    5468	-----      PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,找到策略更改并应用这些更改
    5471	-----      PAStore引擎在计算机上加载了本地存储IPsec策略
    5472	-----      PAStore引擎无法在计算机上加载本地存储IPsec策略
    5473	-----      PAStore引擎在计算机上加载了目录存储IPsec策略
    5474	-----      PAStore引擎无法在计算机上加载目录存储IPsec策略
    5477	-----      PAStore引擎无法添加快速模式过滤器
    5478	-----      IPsec服务已成功启动
    5479	-----      IPsec服务已成功关闭
    5480	-----      IPsec服务无法获取计算机上的完整网络接口列表
    5483	-----      IPsec服务无法初始化RPC服务器。无法启动IPsec服务
    5484	-----      IPsec服务遇到严重故障并已关闭
    5485	-----      IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器
    5632	-----      已请求对无线网络进行身份验证
    5633	-----      已请求对有线网络进行身份验证
    5712	-----      尝试了远程过程调用(RPC)
    5888	-----      COM +目录中的对象已被修改
    5889	-----      从COM +目录中删除了一个对象
    5890	-----      一个对象已添加到COM +目录中
    6144	-----      组策略对象中的安全策略已成功应用
    6145	-----      处理组策略对象中的安全策略时发生一个或多个错误
    6272	-----      网络策略服务器授予用户访问权限
    6273	-----      网络策略服务器拒绝访问用户
    6274	-----      网络策略服务器放弃了对用户的请求
    6275	-----      网络策略服务器放弃了用户的记帐请求
    6276	-----      网络策略服务器隔离了用户
    6277	-----      网络策略服务器授予用户访问权限,但由于主机未满足定义的健康策略而将其置于试用期
    6278	-----      网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略
    6279	-----      由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户
    6280	-----      网络策略服务器解锁了用户帐户
    6281	-----      代码完整性确定图像文件的页面哈希值无效...
    6400	-----      BranchCache:在发现内容可用性时收到格式错误的响应。
    6401	-----      BranchCache:从对等方收到无效数据。数据被丢弃。
    6402	-----      BranchCache:提供数据的托管缓存的消息格式不正确。
    6403	-----      BranchCache:托管缓存发送了对客户端消息的错误格式化响应以提供数据。
    6404	-----      BranchCache:无法使用配置的SSL证书对托管缓存进行身份验证。
    6405	-----      BranchCache:发生了事件ID%1的%2个实例。
    6406	-----1注册到Windows防火墙以控制以下过滤:
    6408	-----      已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。
    6409	-----      BranchCache:无法解析服务连接点对象
    6410	-----      代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题
    6416	-----      系统识别出新的外部设备。
    6417	-----      FIPS模式加密自检成功
    6418	-----      FIPS模式加密自检失败
    6419	-----      发出了禁用设备的请求
    6420	-----      设备已禁用
    6421	-----      已发出请求以启用设备
    6422	-----      设备已启用
    6423	-----      系统策略禁止安装此设备
    6424	-----      在事先被政策禁止之后,允许安装此设备
    8191	-----      最高系统定义的审计消息值
    
    展开全文
  • NISP-信息安全事件与应急响应

    千次阅读 2019-09-19 14:44:13
    文章目录NISP-信息安全事件与应急响应1.信息安全事件2.信息安全事件分类3.信息安全事件分级三要素信息系统重要程度系统损失社会影响4.信息安全事件分级5.信息安全应急响应6.应急响应的作用7.应急响应组织8.应急响应...

    NISP-信息安全事件与应急响应

    1.信息安全事件

    • 是指由于自然或人为以及软硬件故障或缺陷的原因,对信息系统造成危害或在信息系统内发生对社会造成负面影响的事件
    • 至今尚没有任何一种信息安全策略或防护措施,能够对信息及信息系统提供绝对的保护,以完全避免信息安全事件的发生
    • 对信息安全事件进行有效的管理和响应,最小化事件所造成的损失和负面影响是组织信息安全战略的一部分
    • 应急响应是信息安全事件的主要内容

    2.信息安全事件分类

    信息安全事件可以是故意,过失或人为原因引起的可以分为以下这七个基本分类:

    • 有害程序事件
    • 网络攻击事件
    • 信息破坏事件
    • 信贷内容安全事件
    • 设备设施故障事件
    • 灾害性事件
    • 其他信息安全事件

    3.信息安全事件分级三要素

    • 通常对信息安全事件的分级主要考虑以下三个要素:
      • 信息系统的重要程度
    • 系统损失
    • 社会影响

    信息系统重要程度

    • 是指主要考虑信息系统所承载的业务对国家安全,经济建设,社会生活的重要性以及业务对信息系统的依赖程度划分为特别重要,重要,一般信息系统

    系统损失

    • 指由于信息安全事件对信息系统的软硬件功能的破坏,导致系统业务的中断,从而造成对事发组织和国家造成的损失
    • 其大小组要考虑恢复系统正常运行和消除安全事件负面影响所需要的代价

    社会影响

    • 是指信息安全事件对社会所造成影响的范围程度
    • 其大小主要考虑国家安全,社会秩序,经济建设和公共利益等方面的影响

    4.信息安全事件分级

    根据信息安全事件分级的参考要素可以将信息安全事件划分为四个级别:

    • 特别重大事件
    • 重大事件
    • 较大事件
    • 一般事件

    5.信息安全应急响应

    • 是指一个组织为了应对各种安全意外事件的发生所采取的防范措施(既包括预防性措施,也包括事件发生后的应对措施)
    • 由于安全事件具有突发性,复杂性,所以需要建立信息安全系统,安全事件的快速响应机制
    • 应急响应工作的主要任务:做好预先防范,安全事件发生后,尽快做出正确反应,及时阻止事件的继续发展,并减少损失,使系统恢复正常运行,同时采取必要的手段追踪攻击者及必要的法律行动

    6.应急响应的作用

    应急响应的作用主要体现在两个方面:

    • 未雨绸缪:是指事先准备,管理上,开展安全培训,制定安全策略和应急预案等,技术上,增加系统安全性,如备份,升级系统软硬件,有条件的可以安装防火墙入侵检测系统,杀毒工具等
    • 亡羊补牢:是指事件发生后,可以采取抑制,根除和恢复等措施,减少损失,并恢复正常运行。如:隔离,限制,关闭网络服务,恢复系统机,更新追踪,总结等

    7.应急响应组织

    • 计算机网络安全事件应急组
    • 计算机安全事件响应组(CSIRT)
    • 信息安全事件响应组(ISIRT)
    • 事件响应组(IRT)
    • 通常应急组织由管理,业务,技术和行政后勤等人员组成
    • 组织建立的内部应急响应组织应与外部的国内外应急响应组织相关管理部门,设备设施及服务提供商(如电力供应,通信服务),利益相关方和新闻媒体等保持联系和协作,以确保在发生信息安全事件时能及时通报准确的情况并获得支持

    中国:

    • 国家计算机应急技术处理协调中心
    • 国家计算机病毒应急处理中心
    • 国家计算机网络入侵防范中心

    8.应急响应管理过程

    应急响应办法和过程并不是唯一的,但通常可以分为以下6个阶段:

    • 准备
    • 检测
    • 遏制
    • 根除
    • 恢复
    • 跟踪系统

    准备

    • 确定应急响应安全策略,安全事件检测过程和响应过程
    • 建立应急预案和支持平台
    • 准备应急人员和资源
    • 更新策略和规程

    检测

    • 是事件发生的第一个反应步骤
    • 应急响应过程中,所有活动都依赖于检测
    • 检测触发应急事件响应

    目的:

    • 首先确认事件是否发生;接着判定事件发生的领域危害和影响范围

    常用安全事件的检测方法:

    • 系统和网络行为监视与检查
    • 可疑行为审查和事件报告等

    遏制

    目的:

    • 限制安全事件的影响范围
    • 降低潜在的损失

    可采取的遏制措施包括:

    • 关闭所有系统,断开网络连接
    • 修改防火墙过滤规则
    • 封锁或删除被攻击账号
    • 关闭服务等

    根除

    目的:

    • 查找问题根源,彻底解决安全事件
    • 借助准备阶段提供的安全工具来完成本阶段的工作

    常用根除方法:

    • 清除木马和病毒
    • 改变用户口令
    • 重新安装操作系统,改进保护措施等

    恢复

    目的:

    • 所有受到影响的系统或网络环境恢复正常工作状态。
    • 必须使用可信的完整备份或增量备份来恢复系统

    跟踪总结

    目的:

    • 回顾并整理发生安全事件的相关信息(包括安全事件的操作方法和步骤;事件文档与证据的管理记录内容)
    • 形成一份事件过程文档和损失报告
    展开全文
  • 如上图,要删除的为“启动服务”按钮控件,其ID为 IDC_START,此控件已存在一个事件处理程序,先打算将其删除。 共需删除三个地方的代码。 第一,事件处理程序的原代码。 第二,事件处理程序的原代码所在...

    这里写图片描述
    如上图,要删除的为“启动服务”按钮控件,其ID为 IDC_START,此控件已存在一个事件处理程序,先打算将其删除。
    共需删除三个地方的代码。
    第一,事件处理程序的原代码。
    这里写图片描述
    第二,事件处理程序的原代码所在源文件中的 BEGIN_MESSAGE_MAP—END_MESSAGE_MAP中的相应代码。
    这里写图片描述
    第三,相应的头文件中的与事件处理程序相对的消息映射代码。
    这里写图片描述
    将以上三处代码删除后,即可将与控件绑定的事件处理删除干净。
    其实熟悉MFC的同学应该了解,第二处代码是在源文件(.cpp)中,第三处的代码是在头文件(.h)中的,他们构成事件处理程序的消息映射。

    展开全文
  • 帐号登录事件 (事件编号与描述) 672 身份验证服务(AS)票证得到成功发行与验证。...安全主体重建AS票证或TGS票证。 675 预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成。

    帐号登录事件

    (事件编号与描述)

    672 身份验证服务(AS)票证得到成功发行与验证。

    673 票证授权服务(TGS)票证得到授权。TGS是一份由Kerberos 5.0版票证授权服务(TGS)发行、且允许用户针对域中特定服务进行身份验证的票证。

    674 安全主体重建AS票证或TGS票证。

    675 预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成。

    676 身份验证票证请求失败。这种事件在Windows XP Professional操作系统或WindowsServer产品家族成员中将不会产生。

    677 TGS票证无法得到授权。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。

    678 指定帐号成功映射到一个域帐号。

    681 登录失败。域帐号尝试进行登录。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。

    682 用户重新连接到一个已经断开连接的终端服务器会话上。

    683 用户在没有注销的情况下与终端服务器会话断开连接。

     

    帐号管理事件

    624 一个用户帐号被创建。

    627 一个用户密码被修改。

    628 一个用户密码被设置。

    630 一个用户密码被删除。

    631 一个全局组被创建。

    632 一个成员被添加到特定全局组中。

    633 一个成员从特定全局组中被删除。

    634 一个全局组被删除。

    635 一个新的本地组被创建。

    636 一个成员被添加到本地组中。

    637 一个成员从本地组中被删除。

    638 一个本地组被删除。

    639 一个本地组帐号被修改。

    641 一个全局组帐号被修改。

    642 一个用户帐号被修改。

    643 一个域策略被修改。

    644 一个用户帐号被自动锁定。

    645 一个计算机帐号被创建。

    646 一个计算机帐号被修改。

    647 一个计算机帐号被删除。

    648 一个禁用安全特性的本地安全组被创建。说明:正式名称中的SECURITY_DISABLED意味着这个组无法用于在访问检查中授予权限。

    649 一个禁用安全特性的本地安全组被修改。

    650 一个成员被添加到一个禁用安全特性的本地安全组中。

    651 一个成员从一个禁用安全特性的本地安全组中被删除。

    652 一个禁用安全特性的本地组被删除。

    653 一个禁用安全特性的全局组被创建。

    654 一个禁用安全特性的全局组被修改。

    655 一个成员被添加到一个禁用安全特性的全局组中。

    656 一个成员从一个禁用安全特性的全局组中被删除。

    657 一个禁用安全特性的全局组被删除。

    658 一个启用安全特性的通用组被创建。

    659 一个启用安全特性的通用组被修改。

    660 一个成员被添加到一个启用安全特性的通用组中。

    661 一个成员从一个启用安全特性的通用组中被删除。

    662 一个启用安全特性的通用组被删除。

    663 一个禁用安全特性的通用组被创建。

    664 一个禁用安全特性的通用组被修改。

    665 一个成员被添加到一个禁用安全特性的通用组中。

    666 一个成员从一个禁用安全特性的通用组中被删除。

    667 一个禁用安全特性的通用组被删除。

    668 一个组类型被修改。

    684 管理组成员的安全描述符被设置。说明:在域控制器上,一个后台线程每60秒将对管理组中的所有成员(如域管理员、企业管理员和架构管理员)进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。

    685 一个帐号名称被修改。

     

    审核登录事件

    528 用户成功登录到计算机上。

    529 登录失败:试图使用未知用户名或带有错误密码的已知用户名进行登录。

    530 登录失败:试图在允许时间范围以外进行登录。

    531 登录失败:试图通过禁用帐号进行登录。

    532 登录失败:试图通过过期帐号进行登录。

    533 登录失败:试图通过不允许在特定计算机上进行登录的用户帐号进行登录。

    534 登录失败:用户试图通过不允许使用的密码类型进行登录。

    535 登录失败:针对指定帐号的密码已经过期。

    536 登录失败:网络登录服务未被激活。

    537 登录失败:由于其它原因导致登录失败。说明:在某些情况下,登录失败原因可能无法确定。

    538 针对某一用户的注销操作完成。

    539 登录失败:登录帐号在登录时刻已被锁定。

    540 用户成功登录到网络。

    541 本地计算机与所列对等客户身份标识之间的主模式Internet密钥交换(IKE)身份验证操作已经完成(建立一条安全关联),或者快速模式已经建立一条数据通道。

    542 数据通道被中断。

    543 主模式被中断。说明:这种事件可能在安全关联时间限制到期(缺省值为8小时)、策略修改或对等客户中断时发生。

    544 由于对等客户未能提供合法证书或签署未通过验证导致主模式身份验证失败。

    545 由于Kerberos失败或密码不合法导致主模式身份验证失败。

    546 由于对等客户发送非法了非法提议,IKE 安全关联建立没有成功。收到一个包含非法数据的数据包。

    547 IKE握手过程中发生错误。

    548 登录失败:来自信任域的安全标识符(SID)与客户端的帐号域SID不匹配。

    549 登录失败:在跨域身份验证过程中,所有同非信任名称空间相对应的SID均已被过滤掉。

    550 能够指示可能发生拒绝服务(DoS)攻击的通知消息。

    551 用户发起注销操作。

    552 用户在已经通过其他身份登录的情况下使用明确凭据成功登录到计算机上。

    682 用户重新连接到一个已经断开连接的终端服务器会话上。

    683 用户在没有注销的情况下与终端服务器会话断开连接。说明:这种事件将在用户通过网络与终端服务器会话建立连接时产生。它将出现在终端服务器上。

     

    对象访问事件

    560 访问由一个已经存在的对象提供授权。

    562 一个对象访问句柄被关闭。

    563 试图打开并删除一个对象。说明:当您在Createfile()函数中指定FILE_DELETE_ON_CLOSE标志时,这种事件将被文件系统所使用。

    564 一个保护对象被删除。

    565 访问由一种已经存在的对象类型提供授权。

    567 一种与句柄相关联的权限被使用。说明:一个授予特定权限(读取、写入等)的句柄被创建。当使用这个句柄时,至多针对所用到的每种权限产生一次审核。

    568 试图针对正在进行审核的文件创建硬连接。

    569 身份验证管理器中的资源管理器试图创建客户端上下文。

    570 客户端试图访问一个对象。说明:针对对象的每次操作尝试都将产生一个事件。

    571 客户端上下文被身份验证管理器应用程序删除。

    572 管理员管理器初始化应用程序。

    772 证书管理器拒绝了挂起的证书申请。

    773 证书服务收到重新提交的证书申请。

    774 证书服务吊销了证书。

    775 证书服务收到发行证书吊销列表(CRL) 的请求。

    776 证书服务发行了证书吊销列表(CRL)

    777 更改了证书申请扩展。

    778 更改了多个证书申请属性。

    779 证书服务收到关机请求。

    780 已开始证书服务备份。

    781 已完成证书服务备份。

    782 已开始证书服务还原。

    783 已完成证书服务还原。

    784 证书服务已经开始。

    785 证书服务已经停止。

    786 证书服务更改的安全权限。

    787 证书服务检索了存档密钥。

    788 证书服务将证书导入数据库中。

    789 证书服务更改的审核筛选。

    790 证书服务收到证书申请。

    791 证书服务批准了证书申请并颁发了证书。

    792 证书服务拒绝证书申请。

    793 证书服务将证书申请状态设为挂起。

    794 证书服务更改的证书管理器设置

    795 证书服务更改的配置项。

    796 证书服务更改属性。

    797 证书服务存档了密钥。

    798 证书服务导入和存档了密钥。

    799 证书服务将证书发行机构(CA)证书发行到Active Directory

    800 从证书数据库删除一行或多行。

    801 角色分隔被启用。

    审核策略更改事件

    608 用户权限已被分配。

    609 用户权限已被删除。

    610 与另一个域的信任关系已被创建。

    611 与另一个域的信任关系已被删除。

    612 审核策略已被更改。

    613 Internet协议安全性(IPSec)策略代理已经启动。

    614 IPSec策略代理已被禁用。

    615 IPSec策略代理已被更改。

    616 IPSec策略代理遇到一个潜在的严重问题。

    617 Kerberos 5.0版策略已被更改。

    618 经过加密的数据恢复策略已更改。

    620 与另一个域的信任关系已被修改。

    621 系统访问权限已被授予帐号。

    622 系统访问权限已从帐号中删除。

    623 审核策略以对等用户为单位进行设置。

    625 审核策略以对等用户为单位进行刷新。

    768 检测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。说明:当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时,它将无法明确解析属于这两个名称空间元素的名称。这种重叠现象也称作冲突。并非针对每种记录类型的参数均合法。举例来说,诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。

    769 添加了受信任的森林信息。说明:这种事件消息将在更新受信任的森林信息以及添加一条或多条记录时生成。针对每条添加、删除或修改的记录都将生成一条事件消息。如果在针对森林信任信息的单一更新操作中添加、删除或修改多条记录,生成的所有事件消息都将被分配一个相同且唯一标识符(称作操作编号)。这种方式使您能够判断出多条事件消息是由一次操作生成的。并非针对每种记录类型的参数均合法。举例来说,诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。

    770 删除了受信任的森林信息。说明:查看编号为769的事件描述。

    771 修改了受信任的森林信息。说明:查看编号为769的事件描述。

    805 事件日志服务读取针对会话的安权限使用事件

     

    权限使用事件

    576 特定权限已被添加到用户访问令牌中。说明:这种事件将在用户登录时产生。

    577 用户试图执行受到权限保护的系统服务操作。

    578 在已经处于打开状态的受保护对象句柄上使用权限。

     

    详细跟踪事件

    592 已经创建新的过程。

    593 已经退出某过程。

    594 对象的句柄被重复

    595 已经取得对象的间接访问权。

    596 数据保护主密钥备份。说明:主密钥将供CryptProtectDataCryptUnprotectData例程以及加密文件系统(EFS)所使用。这种主密钥将在每次创建新增主密钥时予以备份。(缺省设置为90天。)密钥备份操作通常由域控制器执行。

    597 数据保护主密钥已由恢复服务器恢复完毕。

    598 审核数据已得到保护。

    599 审核数据保护已取消。

    600 分派给进程一个主令牌。

    601 用户尝试安装服务。

    602 一个计划作业已被创建。

     

    面向审核系统事件的系统事件消息

    512 正在启动 Windows

    513 Windows 正在关机。

    514 本地安全机制机构已加载身份验证数据包。

    515 受信任的登录过程已经在本地安全机制机构注册。

    516 用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。

    517 审核日志已经清除。

    518 安全帐户管理器已经加载通知数据包。

    519 一个过程正在试图通过无效本地过程调用(LPC)端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。

    520 系统时间已更改。说明:这种审核操作通常成对出现。

     

    展开全文
  • windows日志ID 表 1:安全事件日志中的登录事件 事件 ID 说明 ...
  • 根据美国白宫近期向国会提交的《2019年美国政府网络安全年报》显示,美国各政府部门在2019年共发生了28581起网络安全事件,虽然同比2018年有所下降,但美国政府部门发现在暴力攻击、利用移动设备(包括USB设备、外部...
  • 近日收到云安全中心安全事件提醒,“出现了紧急安全事件:挖矿程序,建议您立即登录查看事件详情,并根据事件建议的方案进行处理。” 登录服务器后用top命令查看CPU利用率并不高,感觉不一定真是挖矿程序在作怪,或...
  • 信息安全事件管理

    万次阅读 2007-06-25 14:35:00
    目 次前 言 III引 言 IV1 范围 12 规范性引用文件 13 定义 14 背景 14.1 目标 14.2 过程 25 益处和关键问题 45.1 益处 55.2 关键问题 66 信息安全事件及其原因示例 96.1 拒绝服务 96.2 信息收集 96.3 未授权访问 107...
  • 回顾2012年重大安全事件

    千次阅读 2013-01-30 17:06:51
    随后,赛门铁克方面也确认了是在2006年时的一次第三方泄密事件让自身的安全和非安全工具产品源代码大范围泄露。 赛门铁克在声明中表示,该事件中遭到入侵的是第三方网络,受影响的代码并未影响赛门铁克各个解决方案...
  • ![图片说明]...在我们拔掉U盘时,会在U盘上右击,然后在弹出来的子菜单上点击“弹出”按钮,我应该怎么来获取这个点击事件呢?我就是想在用户点击这个按钮时结束一个进程,解除U盘的占用。
  • XXX分局信息安全突发事件应急处置工作预案 为了有效预防、及时控制和妥善处理我局网络和信息突发事件,提高我局快速反应和应急处理能力,建立健全应急机制,确保我局信息系统安全,根据国家有关法律法规和我局有关...
  • 本文介绍了在 Windows 7 和 Windows Server 2008 R2 中的各种与安全和审核有关事件。本文还提供了有关如何解释这些事件的信息。所有这些事件出现在安全日志中,并与源的安全审核记录。本文还介绍如何检索有关个别...
  • 2010年十大安全事件回顾 收藏 分享 2010-12-8 11:47| 发布者: 卡饭资讯| 查看数: 528| 评论数: 12|来自: cnBeta 摘要: 即将结束的2010年里,IT安全领域可以用“混乱”一词来形容。在此我们为大家列出了十大安全...
  • 尚义初中 校园网络与信息安全突发事件应急预案 为确保校园网安全有序平稳运行保证校园网络信息安全和网 络安全更好的服务于学校的教育教学为及时处置校园网信息网 络安全事件保障校园网作用的正常发挥特制定本预案 ...
  • 2020校园网络与信息安全突发事件应急预案撰写人_日 期_ 2020校园网络与信息安全突发事件应急预案 撰写人_ 日 期_ 第 PAGE 页 共 NUMPAGES 页 2020校园网络与信息安全突发事件应急预案 一信息网络安全事件定义 1校园...
  • WindowsServer2003安全事件ID分析根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。 一、帐户登录事件 下面显示了由“审核帐户登录事件”...
  • 随着互联网业务的迅速发展,网上的信息内容呈现爆炸式...由于缺乏相应的监督和管理的措施,致使互联网内容安全风险增加,安全事件频发,严重污染了整个互联网的环境。《2015内容安全年报》解读2015互联网的内容安全态势
  • 为了在SIEM控制台中删除不必要的干扰事件,读者需要掌握3个重要的按钮的功能,这三个按钮在事件列表的左下角。    Delete seleced:删除勾选项事件,想要快速勾选所有事件,可以将Signature前面的复选框选中。 ...
  • Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。 一、帐户登录事件 下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。 672:已成功颁发和验证身份验证服务 (AS) 票证。 ...
  • 一.前言 LogonTracer是通过可视化和分析Windows Active Directory事件日志来调查恶意登录的...(用于可视化分析恶意登录Windows系统的安全日志取证工具,以加强Windows系统服务器的安全。) 相关事件ID: 4624:成功登...
  • 帐号登录事件(事件编号与描述) 672 身份验证服务(AS)票证得到成功...674 安全主体重建AS票证或TGS票证。 675 预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成。676 身份验证票证请求失败。
  • 2011年重大IT安全事件回顾

    千次阅读 2011-12-17 13:50:17
    2011年即将过去,我们需要回顾并盘点一下这一年中发生的重大IT安全事件。其中的一些事件甚至可能被定性为2011年度高级持续性威胁。 3.15黑客攻击事件  RSA执行总裁ArtCoviello在3月15日称,RSA遭到黑客攻击,...
  • 龙虬镇中心小学 校园...一信息网络安全事件定义 1学校网站主页被恶意纂改交互式栏目里发表反政府分裂国家和色情内容的信息及损害国家学校声誉的谣言 2校园网内网络被非法入侵,应用计算机上的数据被非法拷贝修改删除 3
  • 这是pychamr右击删除一个类之后,会弹出一个Safe Delete安全删除的弹框: 我们先来说下者三个选项的意思: ①:Safe delete(with usage search):启用安全删除功能 (使用搜索) ②:Search in comments and ...
  • 利用Windows Server 2003的安全事件ID可以帮助我们快速识别由Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。可以帮助网友更好地维护和管理Windows 2003操作系统环境。 根据下面的ID,...
  • 昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell***文件被植入...发现后门(Webshell)文件”事件等级:紧急,影响资产:阿里云ECS:ID,然后贴出了网站***文件的路径地址:/www/wangzhan/safe/ind...
  • MongoDB数据库被入侵删除事件分析

    千次阅读 2017-01-08 00:14:08
    本周,境外勒索集团黑客大规模利用企业使用MongoDB开源版时的配置疏漏进行入侵,给自建MongoDB数据库服务的企业造成不小的安全隐患。
  • [转载]Win2003“安全事件ID”分析

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 213,703
精华内容 85,481
关键字:

怎样删除安全事件