Paano I-interpret ang Windows Security Event ID 4688 sa isang Imbestigasyon

Upang mabigyang-kahulugan ang event ID 4688, mahalagang maunawaan ang iba't ibang field na kasama sa log ng kaganapan. Maaaring gamitin ang mga field na ito upang makita ang anumang mga iregularidad at subaybayan ang pinagmulan ng isang proseso pabalik sa pinagmulan nito.

• Paksa ng Creator: ang field na ito ay nagbibigay ng impormasyon tungkol sa user account na humiling ng paglikha ng isang bagong proseso. Nagbibigay ang field na ito ng konteksto at makakatulong sa mga forensic investigator na matukoy ang mga anomalya. Kabilang dito ang ilang mga subfield, kabilang ang:

• • Security Identifier (SID)” Ayon kay microsoft, ang SID ay isang natatanging halaga na ginagamit upang makilala ang isang trustee. Ito ay ginagamit upang makilala ang mga user sa Windows machine.
  • Pangalan ng Account: ang SID ay nalutas upang ipakita ang pangalan ng account na nagpasimula ng paglikha ng bagong proseso.
  • Domain ng Account: ang domain na kinabibilangan ng computer.
  • Logon ID: isang natatanging hexadecimal value na ginagamit upang tukuyin ang session ng logon ng user. Maaari itong magamit upang iugnay ang mga kaganapan na naglalaman ng parehong ID ng kaganapan.

• Target na Paksa: ang field na ito ay nagbibigay ng impormasyon tungkol sa user account kung saan tumatakbo ang proseso. Ang paksang binanggit sa kaganapan sa paglikha ng proseso ay maaaring, sa ilang mga pagkakataon, ay naiiba sa paksang binanggit sa kaganapan ng pagwawakas ng proseso. Kaya, kapag ang gumawa at ang target ay walang parehong logon, mahalagang isama ang target na paksa kahit na pareho silang tumutukoy sa parehong ID ng proseso. Ang mga subfield ay kapareho ng sa paksa ng lumikha sa itaas.
• Impormasyon sa Proseso: nagbibigay ang field na ito ng detalyadong impormasyon tungkol sa ginawang proseso. Kabilang dito ang ilang mga subfield, kabilang ang:

• • Bagong Process ID (PID): isang natatanging hexadecimal value na itinalaga sa bagong proseso. Ginagamit ito ng operating system ng Windows upang subaybayan ang mga aktibong proseso.
  • Bagong Pangalan ng Proseso: ang buong path at pangalan ng executable file na inilunsad upang lumikha ng bagong proseso.
  • Uri ng Pagsusuri ng Token: ang pagsusuri ng token ay isang mekanismo ng seguridad na ginagamit ng Windows upang matukoy kung ang isang user account ay awtorisado na magsagawa ng isang partikular na aksyon. Ang uri ng token na gagamitin ng isang proseso upang humiling ng mga mataas na pribilehiyo ay tinatawag na "uri ng pagsusuri ng token." May tatlong posibleng halaga para sa field na ito. Ang uri 1 (%%1936) ay nagpapahiwatig na ang proseso ay gumagamit ng default na token ng user at hindi humiling ng anumang mga espesyal na pahintulot. Para sa field na ito, ito ang pinakakaraniwang halaga. Ang Type 2 (%%1937) ay nagsasaad na ang proseso ay humiling ng buong mga pribilehiyo ng administrator na tumakbo at matagumpay na makuha ang mga ito. Kapag ang isang user ay nagpatakbo ng isang application o proseso bilang administrator, ito ay pinagana. Ang Uri 3 (%%1938) ay nagsasaad na ang proseso ay nakatanggap lamang ng mga karapatan na kinakailangan upang isagawa ang hiniling na aksyon, kahit na humiling ito ng mga mataas na pribilehiyo.

• • Mandatory Label: isang label ng integridad na itinalaga sa proseso. 
  • Creator Process ID: isang natatanging hexadecimal value na itinalaga sa prosesong nagpasimula ng bagong proseso. 
  • Pangalan ng Proseso ng Tagalikha: buong landas at pangalan ng prosesong lumikha ng bagong proseso.
  • Process Command Line: nagbibigay ng mga detalye tungkol sa mga argumentong ipinasa sa command upang simulan ang bagong proseso. Kabilang dito ang ilang mga subfield kabilang ang kasalukuyang direktoryo at mga hash.