साइट आइकन हेलबाइट्स

जांच में Windows सुरक्षा इवेंट ID 4688 की व्याख्या कैसे करें

जांच में Windows सुरक्षा इवेंट ID 4688 की व्याख्या कैसे करें

जांच में Windows सुरक्षा इवेंट ID 4688 की व्याख्या कैसे करें

परिचय

के अनुसार माइक्रोसॉफ्ट, ईवेंट आईडी (इवेंट पहचानकर्ता भी कहा जाता है) विशिष्ट रूप से किसी विशेष ईवेंट की पहचान करते हैं। यह विंडोज़ ऑपरेटिंग सिस्टम द्वारा लॉग किए गए प्रत्येक इवेंट से जुड़ा एक संख्यात्मक पहचानकर्ता है। पहचानकर्ता प्रदान करता है करें- उस घटना के बारे में जो घटित हुई और इसका उपयोग सिस्टम संचालन से संबंधित समस्याओं की पहचान करने और उनका निवारण करने के लिए किया जा सकता है। इस संदर्भ में, एक घटना, सिस्टम या उपयोगकर्ता द्वारा सिस्टम पर की गई किसी भी कार्रवाई को संदर्भित करती है। इन इवेंट को इवेंट व्यूअर का उपयोग करके विंडोज़ पर देखा जा सकता है

जब भी कोई नई प्रक्रिया बनाई जाती है तो इवेंट आईडी 4688 लॉग किया जाता है। यह मशीन द्वारा निष्पादित प्रत्येक प्रोग्राम और उसके पहचान करने वाले डेटा का दस्तावेजीकरण करता है, जिसमें निर्माता, लक्ष्य और इसे शुरू करने वाली प्रक्रिया भी शामिल है। इवेंट आईडी 4688 के तहत कई इवेंट लॉग किए जाते हैं। लॉगिन करने पर, सेशन मैनेजर सबसिस्टम (SMSS.exe) लॉन्च किया जाता है, और इवेंट 4688 लॉग किया जाता है। यदि कोई सिस्टम मैलवेयर से संक्रमित है, तो मैलवेयर चलाने के लिए नई प्रक्रियाएं बनाने की संभावना है। ऐसी प्रक्रियाओं को आईडी 4688 के तहत प्रलेखित किया जाएगा।

 

एडब्ल्यूएस पर उबंटू 20.04 पर रेडमाइन तैनात करें

इवेंट आईडी 4688 की व्याख्या करना

इवेंट आईडी 4688 की व्याख्या करने के लिए, इवेंट लॉग में शामिल विभिन्न फ़ील्ड को समझना महत्वपूर्ण है। इन फ़ील्ड्स का उपयोग किसी भी अनियमितता का पता लगाने और किसी प्रक्रिया की उत्पत्ति को उसके स्रोत तक ट्रैक करने के लिए किया जा सकता है।

Ubuntu 18.04 पर GoPhish फ़िशिंग प्लेटफ़ॉर्म को AWS में परिनियोजित करें

निष्कर्ष

 

किसी प्रक्रिया का विश्लेषण करते समय, यह निर्धारित करना महत्वपूर्ण है कि क्या यह वैध है या दुर्भावनापूर्ण है। निर्माता विषय और प्रक्रिया सूचना क्षेत्रों को देखकर एक वैध प्रक्रिया को आसानी से पहचाना जा सकता है। प्रक्रिया आईडी का उपयोग विसंगतियों की पहचान करने के लिए किया जा सकता है, जैसे किसी असामान्य मूल प्रक्रिया से उत्पन्न होने वाली नई प्रक्रिया। कमांड लाइन का उपयोग किसी प्रक्रिया की वैधता को सत्यापित करने के लिए भी किया जा सकता है। उदाहरण के लिए, तर्कों वाली एक प्रक्रिया जिसमें संवेदनशील डेटा के लिए फ़ाइल पथ शामिल है, दुर्भावनापूर्ण इरादे का संकेत दे सकती है। निर्माता विषय फ़ील्ड का उपयोग यह निर्धारित करने के लिए किया जा सकता है कि क्या उपयोगकर्ता खाता संदिग्ध गतिविधि से जुड़ा है या उसके पास उन्नत विशेषाधिकार हैं। 

इसके अलावा, नव निर्मित प्रक्रिया के बारे में संदर्भ प्राप्त करने के लिए सिस्टम में अन्य प्रासंगिक घटनाओं के साथ इवेंट आईडी 4688 को सहसंबंधित करना महत्वपूर्ण है। यह निर्धारित करने के लिए कि नई प्रक्रिया किसी नेटवर्क कनेक्शन से जुड़ी है या नहीं, इवेंट आईडी 4688 को 5156 के साथ सहसंबद्ध किया जा सकता है। यदि नई प्रक्रिया एक नई स्थापित सेवा से जुड़ी है, तो अतिरिक्त जानकारी प्रदान करने के लिए इवेंट 4697 (सेवा इंस्टॉल) को 4688 के साथ सहसंबद्ध किया जा सकता है। इवेंट आईडी 5140 (फ़ाइल निर्माण) का उपयोग नई प्रक्रिया द्वारा बनाई गई किसी भी नई फ़ाइल की पहचान करने के लिए भी किया जा सकता है।

निष्कर्षतः, सिस्टम के संदर्भ को समझना क्षमता का निर्धारण करना है प्रभाव प्रक्रिया का. एक महत्वपूर्ण सर्वर पर शुरू की गई प्रक्रिया का स्टैंडअलोन मशीन पर शुरू की गई प्रक्रिया की तुलना में अधिक प्रभाव पड़ने की संभावना है। संदर्भ जांच को निर्देशित करने, प्रतिक्रिया को प्राथमिकता देने और संसाधनों का प्रबंधन करने में मदद करता है। इवेंट लॉग में विभिन्न फ़ील्ड का विश्लेषण करके और अन्य घटनाओं के साथ सहसंबंध करके, असंगत प्रक्रियाओं का उनके मूल और कारण का पता लगाया जा सकता है।


मोबाइल संस्करण से बाहर निकलें