Home / Operation MyCompany Dominance / Campaign Logs / WL-008

WL-008 Windows Security 4624 Successful Logon

Log ID:

WL-008

Source:

Windows Event Log Security

Representative Path:

Windows Logs > Security (Event ID 4624)

Collection:

Winlogbeat

Primary Use:

시스템 및 도메인 환경 내에서 발생하는 모든 계정의 로그온 성공 이벤트 추적

주요 필드

필드	의미	예시
winlog.event_id	Windows 보안 이벤트 식별자 (로그온 성공 요청 이벤트의 경우 값은 4624)	4624
winlog.computer_name	이벤트가 발생한 대상 호스트(PC 또는 서버)의 컴퓨터 이름	DC01.mycompany.local
winlog.event_data.TargetUserName	시스템 인증을 통과하여 최종적으로 로그온에 성공한 계정의 이름	Administrator
winlog.event_data.LogonType	사용자가 시스템에 접근한 방식(네트워크 로그온의 경우 3)	3
winlog.event_data.IpAddress	로그온 인증을 요청한 클라이언트의 IP 주소	10.0.1.194

커버하는 Techniques Used

Technique	Mapping Reason
T1078.002 - Valid Accounts: Domain Accounts	공격자가 일반 사용자의 단말을 장악한 후, 사전에 탈취한 도메인 최고 관리자 계정(Administrator, admin_user)의 자격 증명을 악용하여 도메인 컨트롤러(DC) 등 사내 핵심 서버에 정당한 권한으로 위장해 원격 진입하는 행위를 식별한다.

탐지 포인트

Technique	관찰할 행위	주요 필드
T1078.002 - Valid Accounts: Domain Accounts	사내에서 상시 연동 통신을 주고받는 일부 허용된 인프라 자산(예: 사내 파일 서버 등 고정 IP 4대) 및 로컬 루프백 대역을 제외한, 비인가 사설 IP 대역 또는 외부 공인 IP 주소로부터 관리자 계정을 이용해 발생하는 네트워크 원격 로그온(LogonType: 3) 성공 집중 관찰	winlog.event_id, winlog.computer_name, winlog.event_data.TargetUserName, winlog.event_data.LogonType, winlog.event_data.IpAddress

ELK Query 예시

winlog.channel : "Security" 
and winlog.event_id : 4624 
and winlog.event_data.LogonType : "3" 
and winlog.event_data.TargetUserName : ("Administrator" or "admin_user") 
and not winlog.event_data.IpAddress : (
  "127.0.0.1" or 
  "::1" or 
  "0:0:0:0:0:0:0:1" or 
  "10.0.13.205" or
  "10.0.10.77" or
  "10.0.4.216" or
  "10.0.4.30"
)