<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>SOC Analytics on Roduygo | Blog</title><link>/categories/soc-analytics/</link><description>Recent content in SOC Analytics on Roduygo | Blog</description><generator>Hugo -- gohugo.io</generator><language>en</language><lastBuildDate>Fri, 08 May 2026 12:00:00 +0700</lastBuildDate><atom:link href="/categories/soc-analytics/index.xml" rel="self" type="application/rss+xml"/><item><title>Sysmon (Phần 1)</title><link>/post/sysmon-phan-1-giam-sat-tien-trinh/</link><pubDate>Fri, 08 May 2026 12:00:00 +0700</pubDate><guid>/post/sysmon-phan-1-giam-sat-tien-trinh/</guid><description>&lt;p&gt;Chào mừng các bạn quay trở lại với Series Giải phẫu Windows OS &amp;amp; SOC Analytics! Ở các bài viết trước, chúng ta đã học cách đọc nhật ký hệ thống (Event Logs) mặc định của Windows. Nhưng trong thực tế chiến đấu, các hacker ngày càng tinh vi, chúng thừa sức qua mặt những log cơ bản này. Đó là lúc các chuyên gia SOC phải viện đến &amp;ldquo;vũ khí hạng nặng&amp;rdquo;: Sysmon (System Monitor). Hôm nay, chúng ta sẽ đi sâu vào hướng dẫn cài đặt tư duy giám sát Sysmon, mở đầu bằng việc &amp;ldquo;mổ xẻ&amp;rdquo; quá trình sinh tiến trình (Process Creation) và cách dùng mã Hash để lột mặt nạ mã độc.&lt;/p&gt;
&lt;h2 id="1-sysmon-là-gì-tại-sao-windows-event-logs-mặc-định-là-chưa-đủ"&gt;1. Sysmon là gì? Tại sao Windows Event Logs mặc định là chưa đủ?
&lt;/h2&gt;&lt;p&gt;Sysmon là một công cụ miễn phí cực kỳ mạnh mẽ thuộc bộ phần mềm Microsoft Sysinternals. Đối với giới bảo mật, Sysmon đã trở thành tiêu chuẩn vàng cho việc giám sát nâng cao.&lt;/p&gt;
&lt;p&gt;Hãy làm một phép so sánh thực tế khi một phần mềm được mở lên:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Windows Event ID 4688 (Mặc định):&lt;/strong&gt; Chỉ cho bạn biết &amp;ldquo;Ai đó vừa chạy một tiến trình mới&amp;rdquo; (ví dụ: &lt;code&gt;cmd.exe&lt;/code&gt; vừa được chạy bởi Administrator).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Sysmon Event ID 1 (Process Creation):&lt;/strong&gt; Không chỉ nói cho bạn biết file nào vừa chạy, mà nó còn cung cấp dấu vân tay (Mã Hash) của file đó, cho biết chính xác tiến trình nào đã gọi nó ra (Parent Image), và thậm chí là lệnh (Command Line) chi tiết đã được gõ vào.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;strong&gt;Tóm lại:&lt;/strong&gt; Windows EID 4688 cho biết &amp;ldquo;ai chạy&amp;rdquo;, còn Sysmon EID 1 cho biết &amp;ldquo;vân tay&amp;rdquo; của kẻ đó. Nếu không có mã Hash, bạn sẽ gần như &amp;ldquo;mù&amp;rdquo; trước các kỹ thuật đổi tên ngụy trang của Hacker.&lt;/p&gt;
&lt;h2 id="2-giải-phẫu-chi-tiết-sysmon-event-id-1"&gt;2. Giải phẫu chi tiết Sysmon Event ID 1
&lt;/h2&gt;&lt;p&gt;Khi Sysmon Event ID 1 nổ ra, nó cung cấp cho SOC Analyst một bức tranh toàn cảnh không thể chối cãi. Hãy cùng &amp;ldquo;soi&amp;rdquo; vào các trường dữ liệu sinh tử của nó:&lt;/p&gt;
&lt;h3 id="21-thông-tin-định-danh-process-info"&gt;2.1 Thông tin định danh (Process Info)
&lt;/h3&gt;&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;ProcessId:&lt;/strong&gt; Số định danh tiến trình trong hệ thống.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Image:&lt;/strong&gt; Đường dẫn vật lý của file thực thi trên ổ cứng (VD: &lt;code&gt;C:\Windows\System32\cmd.exe&lt;/code&gt;).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;CommandLine:&lt;/strong&gt; Ghi lại chính xác từng chữ mà kẻ tấn công đã gõ vào lệnh.&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="22-nguồn-gốc-khởi-tạo-parent-info"&gt;2.2 Nguồn gốc khởi tạo (Parent Info)
&lt;/h3&gt;&lt;p&gt;Mã độc hiếm khi tự nhiên sinh ra. Nó luôn được một thứ gì đó gọi ra.&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;ParentImage:&lt;/strong&gt; Đây là tiến trình cha. Việc nhìn vào tiến trình cha giúp bạn biết lệnh này do người dùng click chuột mở (như từ &lt;code&gt;explorer.exe&lt;/code&gt;) hay bị gọi ngầm bởi một đoạn mã độc.&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="23-dấu-vân-tay-của-tệp-binary-info"&gt;2.3 Dấu vân tay của tệp (Binary Info)
&lt;/h3&gt;&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Hashes:&lt;/strong&gt; Sysmon sẽ tự động tính toán mã Hash (như MD5, SHA256) của file thực thi ngay khi nó chạy. Đây là tính năng &amp;ldquo;đáng tiền&amp;rdquo; nhất của Sysmon.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;img alt="So sánh Event ID 4688 và Event ID 1 của Sysmon" class="gallery-image" data-flex-basis="527px" data-flex-grow="219" height="291" loading="lazy" sizes="(max-width: 767px) calc(100vw - 30px), (max-width: 1023px) 700px, (max-width: 1279px) 950px, 1232px" src="/post/sysmon-phan-1-giam-sat-tien-trinh/sosanh.png" width="639"&gt;&lt;/p&gt;
&lt;h2 id="3-bắt-thóp-mã-độc-kỹ-năng-threat-hunting-thực-chiến"&gt;3. &amp;ldquo;Bắt thóp&amp;rdquo; Mã độc: Kỹ năng Threat Hunting thực chiến
&lt;/h2&gt;&lt;p&gt;Với các thông tin từ Sysmon EID 1, làm sao để phát hiện bất thường? Đừng tìm kiếm ngẫu nhiên, hãy bám vào 3 dấu hiệu (Red Flags) sau:&lt;/p&gt;
&lt;h3 id="kỹ-thuật-1-lột-mặt-nạ-ngụy-trang-masquerading-bằng-mã-hash"&gt;Kỹ thuật 1: Lột mặt nạ ngụy trang (Masquerading) bằng mã Hash
&lt;/h3&gt;&lt;p&gt;Hacker hiểu rằng nếu chạy một file có tên &lt;code&gt;virus_an_cap.exe&lt;/code&gt;, chúng sẽ bị tóm ngay. Vì thế, chúng thường đổi tên mã độc thành các tiến trình hệ thống chuẩn như &lt;code&gt;cmd.exe&lt;/code&gt;, &lt;code&gt;svchost.exe&lt;/code&gt; hay &lt;code&gt;lsass.exe&lt;/code&gt;.&lt;/p&gt;
&lt;p&gt;Tuy nhiên, dù tên file có đổi, mã Hash thì không bao giờ thay đổi. Khi Sysmon ghi lại mã SHA256 của tiến trình &lt;code&gt;cmd.exe&lt;/code&gt; giả mạo đó, bạn chỉ cần ném mã Hash đó lên VirusTotal. Mã Hash sẽ lập tức &amp;ldquo;tố cáo&amp;rdquo; đó là một file độc hại chứ không phải file chuẩn của Microsoft.&lt;/p&gt;
&lt;h3 id="kỹ-thuật-2-phân-tích-phả-hệ-tiến-trình-parent-child-anomalies"&gt;Kỹ thuật 2: Phân tích Phả hệ Tiến trình (Parent-Child Anomalies)
&lt;/h3&gt;&lt;p&gt;Đây là kỹ năng &amp;ldquo;nhìn thấu&amp;rdquo; logic hoạt động của hệ thống. Những tiến trình cha - con sau đây là cực kỳ phi logic và chắc chắn là mã độc:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;WINWORD.EXE (Microsoft Word) sinh ra powershell.exe hoặc cmd.exe:&lt;/strong&gt; Rất có thể một nhân viên vừa mở file Word chứa mã độc Macro, và nó đang gọi lệnh tải virus về máy.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;notepad.exe sinh ra cmd.exe:&lt;/strong&gt; Notepad chỉ là phần mềm gõ văn bản, nó tuyệt đối không có lý do gì để gọi cửa sổ dòng lệnh.&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="kỹ-thuật-3-truy-vết-các-đường-dẫn-và-câu-lệnh-đáng-ngờ"&gt;Kỹ thuật 3: Truy vết các đường dẫn và câu lệnh đáng ngờ
&lt;/h3&gt;&lt;p&gt;Bạn cần cấu hình SIEM (hoặc viết script PowerShell) báo động ngay lập tức nếu tiến trình (Image) được chạy từ các thư mục trú ẩn quen thuộc của malware như:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;C:\Users\*\AppData\Local\Temp\&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;C:\Users\Public\&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Bên cạnh đó, hãy soi kỹ trường &lt;code&gt;CommandLine&lt;/code&gt;. Hacker thường dùng các lệnh sau để tải mã độc thẳng vào RAM hoặc giải mã script:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;-EncodedCommand&lt;/code&gt; (Chạy mã PowerShell đã mã hóa Base64)&lt;/li&gt;
&lt;li&gt;&lt;code&gt;IEX (New-Object Net.WebClient)&lt;/code&gt; (Lệnh tải file từ Internet)&lt;/li&gt;
&lt;li&gt;&lt;code&gt;certutil -urlcache&lt;/code&gt; hoặc &lt;code&gt;bitsadmin /transfer&lt;/code&gt; (Lợi dụng phần mềm có sẵn của Windows để tải virus)&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="4-thực-hành-truy-vấn-sysmon-bằng-powershell"&gt;4. Thực hành truy vấn Sysmon bằng PowerShell
&lt;/h2&gt;&lt;p&gt;Thay vì click chuột mỏi tay trong Event Viewer, các Threat Hunter thường dùng PowerShell để săn lùng (Hunting) dấu vết tiến trình độc hại. Dưới đây là đoạn code mẫu giúp bạn trích xuất tất cả các lần &lt;code&gt;powershell.exe&lt;/code&gt; được gọi ra bởi thư mục Temp:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-powershell" data-lang="powershell"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Truy vấn Sysmon Event ID 1 (Process Create)&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;$Query = &lt;span style="color:#e6db74"&gt;&amp;#34;*[System[EventID=1]]&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Lọc các sự kiện có Image là powershell và ParentImage nằm trong thư mục Temp&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Get-WinEvent -LogName &lt;span style="color:#e6db74"&gt;&amp;#34;Microsoft-Windows-Sysmon/Operational&amp;#34;&lt;/span&gt; -FilterXPath $Query | 
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; Where-Object {
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; $_.Message &lt;span style="color:#f92672"&gt;-match&lt;/span&gt; &lt;span style="color:#e6db74"&gt;&amp;#34;Image: .*powershell\.exe&amp;#34;&lt;/span&gt; &lt;span style="color:#f92672"&gt;-and&lt;/span&gt; 
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; $_.Message &lt;span style="color:#f92672"&gt;-match&lt;/span&gt; &lt;span style="color:#e6db74"&gt;&amp;#34;ParentImage: .*\\Temp\\.*&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; } | Format-List TimeCreated, Message
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;img alt="Result" class="gallery-image" data-flex-basis="420px" data-flex-grow="175" height="567" loading="lazy" sizes="(max-width: 767px) calc(100vw - 30px), (max-width: 1023px) 700px, (max-width: 1279px) 950px, 1232px" src="/post/sysmon-phan-1-giam-sat-tien-trinh/result.png" srcset="/post/sysmon-phan-1-giam-sat-tien-trinh/result_hu_58c3bd88eec3efb8.png 800w, /post/sysmon-phan-1-giam-sat-tien-trinh/result.png 994w" width="994"&gt;&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Bằng cách tận dụng Sysmon Event ID 1, bạn đã bịt được lỗ hổng khổng lồ của Event Viewer mặc định. Mã Hash và Cây tiến trình (Parent-Child) chính là hai thanh gươm sắc bén nhất để lột mặt nạ mọi loại mã độc ngụy trang. Trong bài viết tới (Phần 2), chúng ta sẽ tiếp tục đi sâu vào các Event ID khác của Sysmon (EID 3, 10, 11) để truy vết mã độc tàng hình (Fileless Malware) và hành vi ăn cắp mật khẩu. Hẹn gặp lại các bạn!&lt;/em&gt;&lt;/p&gt;</description></item><item><title>Sysmon (Phần 2)</title><link>/post/sysmon-phan-2-fileless-malware/</link><pubDate>Fri, 08 May 2026 12:00:00 +0700</pubDate><guid>/post/sysmon-phan-2-fileless-malware/</guid><description>&lt;p&gt;Chào mừng các bạn quay trở lại với Phần 2 của loạt bài về Sysmon trong Series Giải phẫu Windows OS &amp;amp; SOC Analytics! Ở phần trước, chúng ta đã dùng Event ID 1 để &amp;ldquo;bắt thóp&amp;rdquo; mã độc dựa vào mã Hash. Nhưng nếu mã độc không tồn tại dưới dạng file trên ổ cứng thì sao? Nếu chúng chạy thẳng trên RAM, hoặc âm thầm chọc ngoáy vào tiến trình hệ thống để ăn cắp mật khẩu? Hôm nay, chúng ta sẽ mở khóa sức mạnh thực sự của Sysmon với bộ 3 Event ID sinh tử: 3, 10 và 11 để chống lại những kỹ thuật lẩn tránh (Evasion) tinh vi nhất.&lt;/p&gt;
&lt;h2 id="1-event-id-10-process-access-kính-lúp-soi-bộ-nhớ-và-fileless-malware"&gt;1. Event ID 10 (Process Access): &amp;ldquo;Kính lúp&amp;rdquo; soi bộ nhớ và Fileless Malware
&lt;/h2&gt;&lt;p&gt;Trong hệ điều hành Windows, các tiến trình (Process) vốn dĩ nằm trong các không gian bộ nhớ biệt lập. Tuy nhiên, mã độc thường xuyên tìm cách &amp;ldquo;chọc&amp;rdquo; vào vùng nhớ của các tiến trình hệ thống hợp lệ để ăn cắp dữ liệu hoặc tiêm mã độc (Process Injection) nhằm che giấu hành vi.&lt;/p&gt;
&lt;p&gt;Đây là lúc &lt;strong&gt;Sysmon Event ID 10 (Process Access)&lt;/strong&gt; tỏa sáng. Trong khi Windows mặc định dùng Event ID 4656 nhưng rất khó cấu hình, Sysmon EID 10 cung cấp bức tranh rõ nét về việc tiến trình nào đang đòi quyền truy cập vào tiến trình nào.&lt;/p&gt;
&lt;p&gt;Đặc biệt, EID 10 là &amp;ldquo;khắc tinh&amp;rdquo; của hai hành vi sau:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Dump mật khẩu LSASS:&lt;/strong&gt; Hacker thường nhắm vào tiến trình &lt;code&gt;lsass.exe&lt;/code&gt; để trích xuất mật khẩu. EID 10 sẽ cảnh báo ngay nếu một file lạ xin quyền truy cập vào &lt;code&gt;lsass.exe&lt;/code&gt;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Tiêm mã độc vào RAM (Kỹ thuật tàng hình/Fileless):&lt;/strong&gt; Dưới đây là một ví dụ thực chiến từ log Sysmon:&lt;/li&gt;
&lt;/ul&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-yaml" data-lang="yaml"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Source Image&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;C:\Users\sarah.miller\Downloads\ckjg.exe&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Target Image&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;C:\Windows\System32\Wbem\wmic.exe&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Granted Access&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;0x1FFFFF&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;CallTrace&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;C:\Windows\SYSTEM32\ntdll.dll+...|UNKNOWN(00007FF7CE73CB77)&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;strong&gt;Phân tích góc nhìn SOC:&lt;/strong&gt;&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Một file có tên ngẫu nhiên &lt;code&gt;ckjg.exe&lt;/code&gt; tải về từ thư mục Downloads lại đi chọc vào công cụ quản lý hệ thống &lt;code&gt;wmic.exe&lt;/code&gt; của Windows.&lt;/li&gt;
&lt;li&gt;Quyền truy cập là &lt;code&gt;0x1FFFFF&lt;/code&gt; (Full Access) – một quyền tối thượng cực kỳ đáng ngờ.&lt;/li&gt;
&lt;li&gt;Đáng chú ý nhất là trường &lt;code&gt;CallTrace&lt;/code&gt;. Nó hiển thị chuỗi thư viện được gọi, nhưng ở đoạn cuối lại xuất hiện vùng nhớ &lt;code&gt;UNKNOWN(00007FF7CE73CB77)&lt;/code&gt;. Điều này cho thấy mã thực thi đang chạy ở một vùng nhớ không xác định, một dấu hiệu kinh điển của việc mã độc giải nén (unpack) shellcode trực tiếp vào RAM để né phần mềm diệt virus quét file vật lý.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="2-event-id-11-file-creation-theo-dấu-các-điểm-neo-persistence"&gt;2. Event ID 11 (File Creation): Theo dấu các điểm neo Persistence
&lt;/h2&gt;&lt;p&gt;Hacker có thể chạy mã độc trên RAM, nhưng để duy trì sự hiện diện (Persistence) qua những lần khởi động lại máy, chúng buộc phải để lại một thứ gì đó trên ổ đĩa. Thay vì cấu hình Audit Object Access phức tạp để lấy Event ID 4663 của Windows, &lt;strong&gt;Sysmon Event ID 11&lt;/strong&gt; mặc định ghi lại toàn bộ các file thực thi được tạo ra.&lt;/p&gt;
&lt;p&gt;Dựa vào tiến trình đáng ngờ &lt;code&gt;ckjg.exe&lt;/code&gt; ở trên, nếu ta tra cứu tiếp Event ID 11, ta sẽ bắt được ngay hành động giấu file của nó:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-yaml" data-lang="yaml"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;ProcessId&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;1460&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Image&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;C:\Users\sarah.miller\Downloads\ckjg.exe&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;TargetFilename&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;C:\Users\sarah.miller\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DeleteApp.url&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;Chỉ với một log duy nhất, Sysmon EID 11 đã vạch trần việc mã độc vừa âm thầm tạo một file khởi động tên là &lt;code&gt;DeleteApp.url&lt;/code&gt; nhét thẳng vào thư mục Startup của người dùng để kích hoạt cùng hệ thống.&lt;/p&gt;
&lt;h2 id="3-event-id-3-network-connection-bắt-tại-trận-reverse-shell"&gt;3. Event ID 3 (Network Connection): Bắt tại trận Reverse Shell
&lt;/h2&gt;&lt;p&gt;Mã độc lấy cắp dữ liệu xong thì phải gửi ra ngoài, hoặc nó cần kết nối về máy chủ C2 (Command &amp;amp; Control) để nhận lệnh.&lt;/p&gt;
&lt;p&gt;Nhật ký tường lửa mặc định của Windows (EID 5156) thường sinh ra quá nhiều &amp;ldquo;rác&amp;rdquo; (noise), nhưng &lt;strong&gt;Sysmon Event ID 3&lt;/strong&gt; lại là một tuyệt tác vì nó gắn trực tiếp kết nối mạng đó với một tiến trình cụ thể.&lt;/p&gt;
&lt;p&gt;Khi soi tiếp tiến trình &lt;code&gt;ckjg.exe&lt;/code&gt; bằng EID 3, ta thu được:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-yaml" data-lang="yaml"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Protocol&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;tcp&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Source IP&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;10.10.57.125&lt;/span&gt; &lt;span style="color:#ae81ff"&gt;(Máy nạn nhân)&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Destination IP&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;193.46.217.4&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Destination Port&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;7777&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;
 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;[Mẹo SOC]:&lt;/strong&gt; Cổng 7777 thường không phải là cổng dịch vụ chuẩn. Sự kết hợp giữa một tiến trình rác trong thư mục Downloads, thực hiện Process Injection (EID 10), thả file vào Startup (EID 11) và mở cổng TCP ra IP bên ngoài (EID 3) là một bằng chứng 100% về một cuộc tấn công Reverse Shell đang diễn ra.&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;h2 id="4-đối-đối-phó-với-timestomping-và-fileless-nâng-cao"&gt;4. Đối đối phó với Timestomping và Fileless nâng cao
&lt;/h2&gt;&lt;h3 id="41-timestomping-giả-mạo-thời-gian"&gt;4.1 Timestomping (Giả mạo thời gian)
&lt;/h3&gt;&lt;p&gt;Trong quá trình điều tra Forensics, timeline là yếu tố sống còn. Để đánh lừa các nhà phân tích, hacker sử dụng kỹ thuật Timestomping – dùng công cụ sửa đổi ngày tạo (Creation Time) của mã độc lùi về quá khứ để trông giống như một tệp hệ thống đã tồn tại từ lâu.&lt;/p&gt;
&lt;p&gt;Ví dụ, trong một ổ đĩa FAT32 bị điều tra, ta có thể thấy một file &lt;code&gt;install.txt&lt;/code&gt; có thời gian truy cập cuối (Accessed Time) là năm 2018, nhưng thời gian tạo (Created Time) lại là năm 2025. Đây là dấu vết thao túng thời gian rõ rệt.&lt;/p&gt;
&lt;p&gt;Để bắt được hành vi này ngay lập tức, ta sử dụng &lt;strong&gt;Sysmon Event ID 2&lt;/strong&gt;. Nếu Windows Event ID 4670 chỉ đơn thuần ghi nhận thay đổi quyền/thuộc tính, thì Sysmon EID 2 được thiết kế đặc biệt để phát hiện và cảnh báo ngay khi có kẻ cố tình sửa đổi thời gian tạo của tệp tin.&lt;/p&gt;
&lt;h3 id="42-giám-sát-fileless-qua-powershell-event-id-4104"&gt;4.2 Giám sát Fileless qua PowerShell (Event ID 4104)
&lt;/h3&gt;&lt;p&gt;Khi nói đến mã độc không để lại file, PowerShell là công cụ bị lạm dụng nhiều nhất. Hacker sẽ truyền các chuỗi lệnh đã mã hóa Base64 thẳng vào RAM. Nếu chỉ nhìn Sysmon EID 1, bạn sẽ chỉ thấy câu lệnh &lt;code&gt;powershell -encodedCommand ...&lt;/code&gt; vô nghĩa.&lt;/p&gt;
&lt;p&gt;Để đối phó, SOC Analyst phải bật tính năng &lt;strong&gt;Script Block Logging (Event ID 4104)&lt;/strong&gt; trong nhánh &lt;code&gt;Microsoft-Windows-PowerShell/Operational&lt;/code&gt;. Ngay cả khi hacker mã hóa code, PowerShell bắt buộc phải tự giải mã nó trên RAM để thực thi. Lúc này, EID 4104 sẽ chộp lại và lưu trữ toàn bộ nội dung code dạng nguyên bản (clear-text).&lt;/p&gt;
&lt;p&gt;Bạn cũng có thể theo dõi &lt;strong&gt;Event ID 4103 (Module Logging)&lt;/strong&gt; để xem chính xác các tham số và biến số (Parameter Binding) nào đã được nạp vào, giúp truy vết tận gốc nguồn tài nguyên độc hại.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Bằng cách kết hợp Sysmon (EID 3, 10, 11) cùng các nhật ký giám sát PowerShell, bạn đã dựng lên một lưới điện an ninh dày đặc. Mã độc có thể đổi tên, giấu file, giả mạo thời gian hay chạy trên RAM, nhưng chúng không bao giờ có thể xóa bỏ hoàn toàn những chuỗi hành vi logic mà chúng tạo ra trên hệ điều hành. Chúc các bạn áp dụng hiệu quả vào hệ thống SIEM của mình để trở thành một Threat Hunter xuất sắc!&lt;/em&gt;&lt;/p&gt;</description></item><item><title>Tổng quan Windows Event Logs và kỹ năng lọc log bằng PowerShell XML</title><link>/post/windows-event-logs-xml/</link><pubDate>Fri, 08 May 2026 12:00:00 +0700</pubDate><guid>/post/windows-event-logs-xml/</guid><description>&lt;p&gt;Chào mừng các bạn quay trở lại với Series Giải phẫu Windows OS &amp;amp; SOC Analytics! Bất kỳ một tên trộm nào khi đột nhập cũng sẽ cố gắng xóa dấu vết, trốn tránh camera. Trong hệ điều hành Windows, &amp;ldquo;camera an ninh&amp;rdquo; đó chính là Event Logs (Nhật ký sự kiện). Mã độc có thể ẩn mình dưới lớp vỏ bọc &lt;code&gt;svchost.exe&lt;/code&gt; hay lách qua UAC, nhưng mọi hành động của chúng đều để lại những &amp;ldquo;gợn sóng&amp;rdquo; trong nhật ký hệ thống. Hôm nay, chúng ta sẽ học cách đọc hiểu các Event ID sinh tử và sử dụng PowerShell kết hợp XML để truy vết hacker với tốc độ ánh sáng!&lt;/p&gt;
&lt;h2 id="1-tổng-quan-về-windows-event-logs"&gt;1. Tổng quan về Windows Event Logs
&lt;/h2&gt;&lt;p&gt;Event Logs là nơi lưu trữ mọi &amp;ldquo;nhịp đập&amp;rdquo; của máy tính. Bất kể là bạn cắm một chiếc USB, cài một phần mềm, khởi động dịch vụ hay gõ sai mật khẩu, Windows đều ghi chép lại một cách tỉ mỉ.&lt;/p&gt;
&lt;h3 id="11-phân-loại-nhật-ký-log-types"&gt;1.1 Phân loại Nhật ký (Log Types)
&lt;/h3&gt;&lt;p&gt;Hệ thống phân chia nhật ký thành nhiều nhánh để dễ quản lý:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;System (Hệ thống):&lt;/strong&gt; Ghi lại các sự kiện liên quan đến hệ điều hành, thay đổi phần cứng, khởi động/tắt máy và hoạt động của trình điều khiển (Driver).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Security (Bảo mật):&lt;/strong&gt; Đây là mỏ vàng của SOC. Ghi lại các sự kiện Đăng nhập/Đăng xuất (Logon/Logoff), thay đổi quyền hạn và quản lý người dùng.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Application (Ứng dụng):&lt;/strong&gt; Ghi lại lỗi phần mềm (crash), cảnh báo từ các ứng dụng cài đặt trên máy.&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="12-mức-độ-sự-kiện-event-levels"&gt;1.2 Mức độ Sự kiện (Event Levels)
&lt;/h3&gt;&lt;p&gt;Mỗi sự kiện được gắn một mức độ nghiêm trọng:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Information:&lt;/strong&gt; Hoạt động bình thường, thành công.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Warning:&lt;/strong&gt; Có vấn đề tiềm tàng nhưng chưa làm sập chức năng (ví dụ: ổ đĩa sắp đầy).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Error:&lt;/strong&gt; Vấn đề nghiêm trọng (mất dữ liệu, phần mềm bị crash).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Success/Failure Audit:&lt;/strong&gt; Cực kỳ quan trọng trong nhánh Security, ghi nhận các nỗ lực truy cập tài nguyên (đăng nhập đúng hoặc sai pass).&lt;/li&gt;
&lt;/ul&gt;

 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;Góc nhìn SOC - Cấu hình dung lượng Log:&lt;/strong&gt; Mặc định, file log (như &lt;code&gt;Security.evtx&lt;/code&gt;) bị giới hạn dung lượng (thường là 20MB) và được cấu hình ghi đè sự kiện cũ nhất (Overwrite events as needed). Hacker hiểu điều này, chúng có thể &amp;ldquo;xả rác&amp;rdquo; (Spam logs) để đẩy các log độc hại trôi đi mất. Do đó, trên các máy chủ quan trọng, quản trị viên thường phải chỉnh thành cấu hình &lt;strong&gt;Archive the log when full&lt;/strong&gt; (Nén lại khi đầy) để không mất dấu vết lịch sử.&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;h2 id="2-từ-điển-event-id-gối-đầu-giường-của-soc"&gt;2. Từ điển Event ID &amp;ldquo;Gối đầu giường&amp;rdquo; của SOC
&lt;/h2&gt;&lt;p&gt;Để săn tìm mã độc, bạn không thể đọc từng dòng log một. Bạn phải thuộc lòng những Event ID (EID) mang tính &amp;ldquo;chỉ điểm&amp;rdquo; sau đây:&lt;/p&gt;
&lt;h3 id="21-nhóm-application-ứng-dụng"&gt;2.1 Nhóm Application (Ứng dụng)
&lt;/h3&gt;&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;EID 1000 (Application Error):&lt;/strong&gt; Phần mềm bị treo cứng và tự đóng. Nếu một dịch vụ quan trọng (như &lt;code&gt;lsass.exe&lt;/code&gt;) liên tục báo lỗi 1000, có thể hacker đang dùng tool dump bộ nhớ bị lỗi.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 11724 (MsiInstaller):&lt;/strong&gt; Thông báo một phần mềm vừa bị gỡ bỏ. Nếu phần mềm bị gỡ là Antivirus, đây là báo động đỏ cực độ (Red Flag)!&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="22-nhóm-system-hệ-thống"&gt;2.2 Nhóm System (Hệ thống)
&lt;/h3&gt;&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;EID 12 / 13:&lt;/strong&gt; Máy tính bắt đầu Boot (12) và Tắt máy bình thường (13).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 7040:&lt;/strong&gt; Thay đổi loại khởi động của một dịch vụ (ví dụ: bật lại một dịch vụ từ Disable sang Auto).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 7045:&lt;/strong&gt; Một dịch vụ (Service) mới vừa được cài đặt. Hacker cực kỳ thích cài &amp;ldquo;Backdoor&amp;rdquo; dưới dạng một Service để tự chạy ngầm cùng quyền LocalSystem.&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="23-nhóm-security-bảo-mật---trái-tim-của-soc"&gt;2.3 Nhóm Security (Bảo mật) - Trái tim của SOC
&lt;/h3&gt;&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;EID 4624 (Logon Success):&lt;/strong&gt; Đăng nhập thành công. Cần soi kỹ Logon Type (Type 2 là ngồi gõ trực tiếp, Type 3 là qua mạng/Share, Type 10 là Remote Desktop).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 4625 (Logon Failure):&lt;/strong&gt; Gõ sai pass. Nếu EID này xuất hiện dồn dập hàng loạt với nhiều user khác nhau, bạn đang đối mặt với tấn công Password Spraying hoặc Brute Force.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 4672 (Special Logon):&lt;/strong&gt; Phiên đăng nhập được gán đặc quyền Admin (SYSTEM). Nếu một tài khoản người dùng thường (như nhân viên lễ tân) có log này, họ đã leo quyền (Privilege Escalation) thành công.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 4720 (User Created) &amp;amp; 4732 (Added to Group):&lt;/strong&gt; Hacker tạo tài khoản Backdoor mới và nhét nó vào nhóm Administrators. Mọi sự kiện 4732 tác động vào nhóm Admin đều phải được điều tra lập tức.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 4688 (Process Creation):&lt;/strong&gt; Ghi nhận một tiến trình/câu lệnh mới vừa chạy. Kết hợp dòng log này, ta biết chính xác mã độc đã gõ lệnh gì trên CMD/PowerShell.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 1102 (Log Cleared):&lt;/strong&gt; Nhật ký an ninh đã bị xóa trắng. Dấu vết lẩn trốn rõ ràng nhất.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="3-giải-phẫu-cấu-trúc-xml-của-một-sự-kiện"&gt;3. Giải phẫu cấu trúc XML của một Sự kiện
&lt;/h2&gt;&lt;p&gt;Mở giao diện Event Viewer (Friendly View) và bấm xem bằng mắt thường rất dễ hiểu, nhưng lại quá chậm để tự động hóa. Thực chất, giao diện này chỉ là bản &amp;ldquo;dịch&amp;rdquo; lại từ ngôn ngữ lưu trữ gốc của Windows: XML.&lt;/p&gt;
&lt;p&gt;Chuyển sang tab &lt;strong&gt;XML View&lt;/strong&gt;, bạn sẽ thấy một sự kiện luôn chia làm 2 khối chính:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-xml" data-lang="xml"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;&amp;lt;Event&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;xmlns=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;http://schemas.microsoft.com/win/2004/08/events/event&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#75715e"&gt;&amp;lt;!-- KHỐI SYSTEM: Chứa siêu dữ liệu chung --&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;System&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Provider&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;Name=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;Microsoft-Windows-Security-Auditing&amp;#34;&lt;/span&gt; &lt;span style="color:#960050;background-color:#1e0010"&gt;...&lt;/span&gt; &lt;span style="color:#f92672"&gt;/&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;EventID&amp;gt;&lt;/span&gt;4672&lt;span style="color:#f92672"&gt;&amp;lt;/EventID&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Level&amp;gt;&lt;/span&gt;0&lt;span style="color:#f92672"&gt;&amp;lt;/Level&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;TimeCreated&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;SystemTime=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;2026-02-02T17:22:57.0339579Z&amp;#34;&lt;/span&gt; &lt;span style="color:#f92672"&gt;/&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Execution&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;ProcessID=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;1504&amp;#34;&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;ThreadID=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;1600&amp;#34;&lt;/span&gt; &lt;span style="color:#f92672"&gt;/&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Computer&amp;gt;&lt;/span&gt;NguyenDuy&lt;span style="color:#f92672"&gt;&amp;lt;/Computer&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;/System&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; 
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#75715e"&gt;&amp;lt;!-- KHỐI EVENT DATA: Phần &amp;#34;thịt&amp;#34; chứa thông tin điều tra --&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;EventData&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Data&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;Name=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;SubjectUserSid&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;S-1-5-18&lt;span style="color:#f92672"&gt;&amp;lt;/Data&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Data&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;Name=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;SubjectUserName&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;SYSTEM&lt;span style="color:#f92672"&gt;&amp;lt;/Data&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Data&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;Name=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;PrivilegeList&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;SeAssignPrimaryTokenPrivilege
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; SeSecurityPrivilege
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; SeTakeOwnershipPrivilege
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; SeDebugPrivilege
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; SeImpersonatePrivilege&lt;span style="color:#f92672"&gt;&amp;lt;/Data&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;/EventData&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;&amp;lt;/Event&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;strong&gt;Tại sao phải quan tâm XML?&lt;/strong&gt; Bởi vì những thông tin sinh tử như Tên tài khoản (&lt;code&gt;SubjectUserName&lt;/code&gt;) hay Đặc quyền (&lt;code&gt;PrivilegeList&lt;/code&gt;) được giấu sâu bên trong các node &lt;code&gt;&amp;lt;Data&amp;gt;&lt;/code&gt;. Nếu bạn hiểu cấu trúc này, bạn có thể viết script lọc ra chính xác các đăng nhập mờ ám có đặc quyền &lt;code&gt;SeDebugPrivilege&lt;/code&gt; (đặc quyền cho phép can thiệp bộ nhớ, cực kỳ nguy hiểm, thường dùng để dump mật khẩu &lt;code&gt;lsass.exe&lt;/code&gt;).&lt;/p&gt;
&lt;h2 id="4-kỹ-năng-lọc-log-thực-chiến-bằng-powershell-xpath"&gt;4. Kỹ năng lọc log thực chiến bằng PowerShell (XPath)
&lt;/h2&gt;&lt;p&gt;Event Viewer rất nặng và chậm khi load hàng chục GB logs. Thay vào đó, SOC Analyst sử dụng PowerShell với Cmdlet &lt;code&gt;Get-WinEvent&lt;/code&gt; kết hợp cú pháp truy vấn XPath để quét logs trong chớp mắt.&lt;/p&gt;
&lt;h3 id="41-thống-kê-nhanh-bằng-wevtutil"&gt;4.1 Thống kê nhanh bằng Wevtutil
&lt;/h3&gt;&lt;p&gt;Để đếm tổng số tệp nhật ký trên máy mà không cần mở giao diện đồ họa, bạn có thể dùng lệnh:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-cmd" data-lang="cmd"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;wevtutil.exe el | find /c /v &lt;span style="color:#e6db74"&gt;&amp;#34;&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;em&gt;(Lệnh này liệt kê tất cả các log &lt;code&gt;el&lt;/code&gt; và đếm tổng số dòng)&lt;/em&gt;&lt;/p&gt;
&lt;h3 id="42-săn-tìm-mã-độc-với-get-winevent--xpath"&gt;4.2 Săn tìm mã độc với Get-WinEvent &amp;amp; XPath
&lt;/h3&gt;&lt;p&gt;Giả sử bạn nghi ngờ có kẻ đang liệt kê danh sách nhóm cục bộ (Event ID 4798) để tìm nhóm Admin. Thay vì cuộn chuột thủ công, hãy ném cú pháp XPath này vào PowerShell:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-powershell" data-lang="powershell"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Lọc toàn bộ Log Security, chỉ lấy các sự kiện có Event ID = 4798&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Get-WinEvent -LogName Security -FilterXPath &lt;span style="color:#e6db74"&gt;&amp;#34;*[System[(EventID=4798)]]&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;strong&gt;Nâng cao hơn: Lọc dựa trên EventData (Dữ liệu bên trong)&lt;/strong&gt;
Nếu bạn muốn tìm đích danh Log Logon thất bại (EID 4625) nhưng chỉ lọc các lần thất bại có mã lỗi &lt;code&gt;0xC0000064&lt;/code&gt; (Tên người dùng không tồn tại - Dấu hiệu của việc dò quét tài khoản), bạn có thể viết Rule XPath truy vấn thẳng vào lớp &lt;code&gt;&amp;lt;EventData&amp;gt;&lt;/code&gt;:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-powershell" data-lang="powershell"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Tìm các log đăng nhập sai (4625) với mã lỗi (Status) là 0xC0000064&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;$Query = &lt;span style="color:#e6db74"&gt;&amp;#34;*[System[EventID=4625] and EventData[Data[@Name=&amp;#39;Status&amp;#39;]=&amp;#39;0xc0000064&amp;#39;]]&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Get-WinEvent -LogName Security -FilterXPath $Query | Select-Object TimeCreated, Message
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;Sức mạnh của XPath cho phép các nhà phân tích SOC trích xuất hàng triệu sự kiện (Events) chỉ trong vài giây, và đây cũng chính là cơ sở cốt lõi để xây dựng các tập luật (Rules) tự động cho hệ thống SIEM (như Wazuh hay Splunk).&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Như vậy, chúng ta đã nắm trong tay cách hệ điều hành &amp;ldquo;ghi sổ&amp;rdquo; mọi biến động. Bằng cách làm chủ các mã Event ID và kỹ thuật lọc XML bằng PowerShell, bạn đã biến mình từ một người bị động trở thành một &amp;ldquo;thợ săn&amp;rdquo; (Threat Hunter) chủ động đi tìm những bất thường trên hệ thống. Ở bài viết tới, chúng ta sẽ tìm hiểu về cách kết hợp Event Logs với Sysmon (System Monitor) – một công cụ biến nhật ký Windows thành hệ thống giám sát cấp độ quân sự. Đừng bỏ lỡ nhé!&lt;/em&gt;&lt;/p&gt;</description></item><item><title>Truy vết Đăng nhập</title><link>/post/truy-vet-dang-nhap-authentication-logs/</link><pubDate>Fri, 08 May 2026 12:00:00 +0700</pubDate><guid>/post/truy-vet-dang-nhap-authentication-logs/</guid><description>&lt;p&gt;Chào mừng các bạn tiếp tục với Series Giải phẫu Windows OS &amp;amp; SOC Analytics! Bất kỳ cuộc tấn công mạng nào, dù tinh vi đến đâu, cũng thường bắt đầu hoặc kết thúc bằng việc kẻ tấn công cố gắng &amp;ldquo;gõ cửa&amp;rdquo; hệ thống qua cơ chế đăng nhập. Đối với một nhà phân tích SOC, nhánh Security Logs là mỏ vàng, và các sự kiện Đăng nhập/Đăng xuất (Logon/Logoff) chính là chìa khóa để nhận diện kẻ xâm nhập. Hôm nay, chúng ta sẽ &amp;ldquo;mổ xẻ&amp;rdquo; bộ 3 Event ID sinh tử: 4624, 4625, 4648 cùng từ điển Logon Types để vạch trần mọi kỹ thuật dò mật khẩu hay mạo danh trên hệ thống.&lt;/p&gt;
&lt;h2 id="1-từ-điển-logon-types-ngôn-ngữ-giao-tiếp-của-hệ-điều-hành"&gt;1. Từ điển &amp;ldquo;Logon Types&amp;rdquo;: Ngôn ngữ giao tiếp của Hệ điều hành
&lt;/h2&gt;&lt;p&gt;Khi bạn phân tích một log đăng nhập (dù thành công hay thất bại), việc chỉ nhìn vào tài khoản (Account Name) là chưa đủ. Bạn bắt buộc phải nhìn vào &lt;strong&gt;Logon Type&lt;/strong&gt; (Cách thức đăng nhập) để biết kẻ đó đang &amp;ldquo;vào nhà&amp;rdquo; bằng cửa chính, cửa sổ hay leo rào.&lt;/p&gt;
&lt;p&gt;Dưới đây là các Logon Type quan trọng nhất mà một SOC Analyst phải thuộc nằm lòng:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Type 2 (Interactive):&lt;/strong&gt; Đăng nhập tương tác trực tiếp. Nghĩa là người dùng (hoặc kẻ tấn công) đang thực sự ngồi trước bàn phím vật lý của cái máy tính đó để gõ mật khẩu.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Type 3 (Network):&lt;/strong&gt; Truy cập qua mạng. Thường thấy khi người dùng truy cập vào thư mục dùng chung (File Share), máy in mạng hoặc khi một tập lệnh từ xa được thực thi.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Type 4 (Batch):&lt;/strong&gt; Đăng nhập dạng khối. Thường được sử dụng bởi các tác vụ lập lịch (Scheduled Tasks) tự động chạy định kỳ.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Type 5 (Service):&lt;/strong&gt; Đăng nhập dạng dịch vụ. Đây là lúc một dịch vụ hệ thống khởi chạy ngầm dưới quyền một tài khoản cụ thể. &lt;strong&gt;Góc nhìn SOC:&lt;/strong&gt; Nếu hàng trăm log Type 5 nổ ra từ các dịch vụ lạ, có thể mã độc đang tự động gọi tiến trình (spawn process) hàng loạt.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Type 10 (Remote Interactive):&lt;/strong&gt; Đăng nhập qua Remote Desktop Protocol (RDP). Đây là Logon Type bị hacker lợi dụng nhiều nhất để tấn công từ xa.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="2-event-id-4625-tiếng-gõ-cửa-của-kẻ-lạ-mặt-logon-failure"&gt;2. Event ID 4625: Tiếng &amp;ldquo;gõ cửa&amp;rdquo; của kẻ lạ mặt (Logon Failure)
&lt;/h2&gt;&lt;p&gt;Mỗi khi có người nhập sai mật khẩu, Windows sẽ sinh ra &lt;strong&gt;Event ID 4625&lt;/strong&gt;. Một vài log 4625 rải rác là bình thường (do người dùng gõ nhầm), nhưng nếu nó nổ ra hàng loạt, hệ thống của bạn đang bị tấn công.&lt;/p&gt;
&lt;p&gt;Để biết chính xác mục tiêu của kẻ tấn công, chúng ta dựa vào trường Status và Sub Status (Mã lỗi):&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;0xC000006A&lt;/code&gt; (Bad Password): Tài khoản có tồn tại, nhưng gõ sai mật khẩu.&lt;/li&gt;
&lt;li&gt;&lt;code&gt;0xC0000064&lt;/code&gt; (User Does Not Exist): Tên người dùng không tồn tại. Nếu bạn thấy mã này nhiều lần, hacker đang thực hiện dò quét liệt kê tài khoản (Username Enumeration).&lt;/li&gt;
&lt;li&gt;&lt;code&gt;0xC0000234&lt;/code&gt; (Account Locked): Đăng nhập vào một tài khoản đã bị khóa do gõ sai quá số lần quy định.&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="21-kỹ-năng-phân-biệt-brute-force-và-password-spraying"&gt;2.1 Kỹ năng phân biệt Brute Force và Password Spraying
&lt;/h3&gt;&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Brute Force (Vét cạn):&lt;/strong&gt; Hacker nhắm vào 1 tài khoản (VD: Administrator) và thử hàng nghìn mật khẩu khác nhau. &lt;strong&gt;Dấu hiệu:&lt;/strong&gt; Nhiều log 4625 liên tiếp, cùng một Account Name, mã lỗi &lt;code&gt;0xC000006A&lt;/code&gt;, dồn dập trong vài giây từ một IP lạ (Source Network Address).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Password Spraying (Phun mật khẩu):&lt;/strong&gt; Để tránh bị khóa tài khoản (Account Lockout), hacker lấy 1 mật khẩu phổ biến (VD: &amp;ldquo;Admin@123&amp;rdquo;) và thử lần lượt trên hàng trăm user khác nhau. &lt;strong&gt;Dấu hiệu:&lt;/strong&gt; Nhiều log 4625, cùng một IP nguồn, nhưng Account Name thay đổi liên tục, xuất hiện mã lỗi trộn lẫn giữa &lt;code&gt;0xC000006A&lt;/code&gt; và &lt;code&gt;0xC0000064&lt;/code&gt;.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="3-event-id-4624-khi-cánh-cửa-mở-ra-logon-success"&gt;3. Event ID 4624: Khi cánh cửa mở ra (Logon Success)
&lt;/h2&gt;&lt;p&gt;&lt;strong&gt;Event ID 4624&lt;/strong&gt; cho biết một tài khoản đã đăng nhập thành công vào hệ thống. Nếu log này xuất hiện ngay sau một chuỗi dài các log 4625, xin chia buồn, hệ thống của bạn đã bị xuyên thủng!&lt;/p&gt;

 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;Mẹo điều tra với RDP (Network Level Authentication - NLA):&lt;/strong&gt; Khi hệ thống bật tính năng xác thực cấp mạng (NLA) cho Remote Desktop, quy trình sinh log sẽ hơi &amp;ldquo;đánh lừa&amp;rdquo; bạn một chút:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Đầu tiên, máy khách gửi thông tin xác thực lên. Windows xử lý việc này như một kết nối mạng thông thường và ghi nhận Log 4624 với Logon Type 3.&lt;/li&gt;
&lt;li&gt;Sau khi xác thực Type 3 thành công, phiên giao diện đồ họa RDP mới thực sự được vẽ ra. Lúc này Windows mới tiếp tục ghi nhận thêm một Log 4624 với Logon Type 10.&lt;/li&gt;
&lt;/ol&gt;

 &lt;/blockquote&gt;
&lt;p&gt;Khi điều tra, bạn nhớ ghi lại trường thông tin &lt;code&gt;Logon ID&lt;/code&gt; (VD: &lt;code&gt;0x183C36D&lt;/code&gt;). Đây là mã định danh phiên làm việc, giúp bạn xâu chuỗi mọi hoạt động (tạo tiến trình, truy cập file) mà tài khoản đó thực hiện sau khi vào máy.&lt;/p&gt;
&lt;h2 id="4-event-id-4648-kỹ-thuật-mạo-danh-explicit-credentials"&gt;4. Event ID 4648: Kỹ thuật Mạo danh (Explicit Credentials)
&lt;/h2&gt;&lt;p&gt;Hacker không phải lúc nào cũng đăng nhập từ bên ngoài vào. Nếu chúng đã lọt vào máy bạn dưới quyền một người dùng thường (nhân viên lễ tân), chúng sẽ cố gắng mạo danh Admin bằng kỹ thuật sử dụng thông tin xác thực rõ ràng (Explicit Credentials) - sinh ra &lt;strong&gt;Event ID 4648&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Log 4648 ghi lại việc một tiến trình cố gắng đăng nhập vào một tài khoản bằng cách &amp;ldquo;mượn&amp;rdquo; danh tính (như lệnh &lt;code&gt;runas&lt;/code&gt;) thay vì đăng nhập trực tiếp qua màn hình.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Dấu hiệu báo động đỏ (Red Flag) từ 4648:&lt;/strong&gt;&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;SubjectUserName:&lt;/strong&gt; Người dùng thường.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;TargetUserName:&lt;/strong&gt; Administrator hoặc Service account.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Process Name:&lt;/strong&gt; Bình thường sẽ là &lt;code&gt;explorer.exe&lt;/code&gt; hoặc &lt;code&gt;mmc.exe&lt;/code&gt;. Nếu bạn thấy tiến trình thực hiện hành động này là &lt;code&gt;powershell.exe&lt;/code&gt;, &lt;code&gt;cmd.exe&lt;/code&gt; hoặc &lt;code&gt;rundll32.exe&lt;/code&gt;, 100% đó là mã độc đang thực hiện leo thang đặc quyền (Privilege Escalation) hoặc di chuyển ngang (Lateral Movement) sang máy chủ khác.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;img alt="4648 Logs" class="gallery-image" data-flex-basis="435px" data-flex-grow="181" height="578" loading="lazy" sizes="(max-width: 767px) calc(100vw - 30px), (max-width: 1023px) 700px, (max-width: 1279px) 950px, 1232px" src="/post/truy-vet-dang-nhap-authentication-logs/image.png" srcset="/post/truy-vet-dang-nhap-authentication-logs/image_hu_10b47e0d4808bd53.png 800w, /post/truy-vet-dang-nhap-authentication-logs/image.png 1049w" width="1049"&gt;&lt;/p&gt;
&lt;h2 id="5-thực-chiến-soc-viết-rule-giám-sát-bằng-siem-wazuh"&gt;5. Thực chiến SOC: Viết Rule giám sát bằng SIEM (Wazuh)
&lt;/h2&gt;&lt;p&gt;Đứng ở góc độ một SOC Analyst, chúng ta không đếm log bằng tay mà sẽ cấu hình các SIEM rule tự động báo động. Dưới đây là ví dụ cấu hình mã XML cho Wazuh để phát hiện hành vi Brute Force và Password Spraying:&lt;/p&gt;
&lt;h3 id="phát-hiện-brute-force-vét-cạn-1-tài-khoản"&gt;Phát hiện Brute Force (Vét cạn 1 tài khoản)
&lt;/h3&gt;&lt;p&gt;Rule này sẽ cảnh báo nếu có 5 lần gõ sai mật khẩu (EID 4625) vào cùng một tài khoản trong vòng 60 giây:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-xml" data-lang="xml"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;&amp;lt;rule&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;id=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;100001&amp;#34;&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;level=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;10&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;if_sid&amp;gt;&lt;/span&gt;4625&lt;span style="color:#f92672"&gt;&amp;lt;/if_sid&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;frequency&amp;gt;&lt;/span&gt;5&lt;span style="color:#f92672"&gt;&amp;lt;/frequency&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;timeframe&amp;gt;&lt;/span&gt;60&lt;span style="color:#f92672"&gt;&amp;lt;/timeframe&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;same_field&amp;gt;&lt;/span&gt;win.eventdata.TargetUserName&lt;span style="color:#f92672"&gt;&amp;lt;/same_field&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;description&amp;gt;&lt;/span&gt;Multiple failed logon - possible brute force nhắm vào 1 tài khoản&lt;span style="color:#f92672"&gt;&amp;lt;/description&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;&amp;lt;/rule&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;h3 id="phát-hiện-password-spraying-phun-mật-khẩu-qua-rdp"&gt;Phát hiện Password Spraying (Phun mật khẩu qua RDP)
&lt;/h3&gt;&lt;p&gt;Rule này cực kỳ sắc bén: Nếu Logon Type là 10 (RDP) bị lỗi sai mật khẩu (&lt;code&gt;0xC000006A&lt;/code&gt;) trên 5 tài khoản khác nhau trong vòng 5 phút (300 giây):&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-xml" data-lang="xml"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;&amp;lt;rule&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;id=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;100013&amp;#34;&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;level=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;12&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;if_sid&amp;gt;&lt;/span&gt;4625&lt;span style="color:#f92672"&gt;&amp;lt;/if_sid&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;field&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;name=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;win.eventdata.LogonType&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;10&lt;span style="color:#f92672"&gt;&amp;lt;/field&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;field&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;name=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;win.eventdata.Status&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;0xC000006A&lt;span style="color:#f92672"&gt;&amp;lt;/field&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;different_field&amp;gt;&lt;/span&gt;win.eventdata.TargetUserName&lt;span style="color:#f92672"&gt;&amp;lt;/different_field&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;frequency&amp;gt;&lt;/span&gt;5&lt;span style="color:#f92672"&gt;&amp;lt;/frequency&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;timeframe&amp;gt;&lt;/span&gt;300&lt;span style="color:#f92672"&gt;&amp;lt;/timeframe&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;description&amp;gt;&lt;/span&gt;RDP Password Spray - {frequency} tài khoản khác nhau đăng nhập RDP thất bại trong {timeframe} giây&lt;span style="color:#f92672"&gt;&amp;lt;/description&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;&amp;lt;/rule&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Việc đọc hiểu cấu trúc Event Logs liên quan đến Authentication là kỹ năng nền tảng giúp SOC Analyst phân tách được các nỗ lực truy cập mạng hợp lệ khỏi các chiến dịch xâm nhập. Chỉ cần bắt được một gợn sóng nhỏ từ 4625 hay 4648, bạn hoàn toàn có thể chặt đứt cuộc tấn công ngay từ lúc kẻ gian đang đứng ngoài cửa. Ở bài viết tiếp theo, chúng bản phân tích kỹ hơn về dấu vết của Hacker sau khi chúng đã xâm nhập: Quản lý người dùng, tạo Backdoor và các log báo hiệu bị thay đổi đặc quyền (EID 4672, 4720, 4732). Hãy cùng theo dõi nhé!&lt;/em&gt;&lt;/p&gt;</description></item></channel></rss>