상세 컨텐츠

본문 제목

Windows RDP 이벤트 IDCheatsheet

Security Incident Analysis

by DarkSoul.Story 2022. 2. 18. 23:32

본문

반응형

공격자가 시스템의 보안 이벤트 로그를 조작하거나 삭제하는 것이 점점 더 보편화되고 있으며, 상황에 따라 RDP 세션이 유형 10 로그온으로 이벤트 기록되지 않는 경우도 있다. RDP 활동은 다양한 프로세스가 관련될 때 여러 다른 로그에 이벤트로 기록된다.

1. 이벤트 ID, 이벤트 ID 설명 및 이벤트 사양

클릭 시 크게보기 가능

2. 이유 코드

3. RDP 성공

RDP 성공의 경우 아래 표에서 이벤트 ID 4624 로그온 유형을 참조하여 로그온 서비스/모드를 식별

4. RDP 실패

RDP 실패의 경우 아래 표에서 이벤트 ID 4625 상태 코드를 참조하여 로그온 실패 이유를 확인

5. Reference

https://ponderthebits.com/category/remote-desktop/
https://community.spiceworks.com/topic/764914-remote-desktop-services-disconnect-code?page=1#entry-5456587
https://frsecure.com/blog/rdp-connection-event-logs/
http://woshub.com/rdp-connection-logs-forensics-windows/
https://docs.rackspace.com/support/how-to/rds-client-disconnected-codes-and-reasons/
https://jpcertcc.github.io/ToolAnalysisResultSheet/
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625

반응형

관련글 더보기