للكشف عن نشاطات سيبرانية مشبوهة على أنظمة تشغيل ويندوز مرتبطة بهجمات الاستطلاع (Reconnaissance) ولعمل مطاردة للتهديدات (Threat Hunting)، يلزم بشكل مبدئي بالتفتيش بسجلات الاحداث (event viewer) ضمن قسم سجلات الحماية (Security Event Log) على سجلات تحمل الارقام التالية:
· Event ID 4624:
Successful logon events
· Event ID 4625: Failed
logon events
· Event ID 4634:
Successful logoff events
· Event ID 4647: User
initiated logoff events
ايضا في حال كان Sysmon مفعل ويقوم بحفظ سجلات، يلزم
البحث عن سجلات اضافية على النحو التالي:
· Event ID 1: Process
creation events
· Event ID 3: Network
connection events
· Event ID 7: Image load events
· Event ID 8:
CreateRemoteThread events
ثم تحليل السجلات المنوعة محط
الاهتمام والتي جمعها وأهمية دراسة ترابط هذه السجلات التي توثق احداث مشبوهة
للاستدلال عن طبيعة الهجوم من أجل اكمال رحلة التحري الرقمي ومعرفة الضرر والأثر
الذي احدثه الاختراق ونطاق الانتشار داخل الشبكة وكذلك الأنظمة والأجهزة العاملة المتضررة.
وبناء عليه عمل اجراءات الاصلاح والتعافي
واحتواء الاختراق.
وبعد يجب توثيق تفاصيل الحادثة بما يشمل كيفية اكتشاف الاختراق، والاجراءات التي تمت واستخراج مؤشرات الاختراق (IoCs).