윈도우 RDP 서비스 이벤트 로그

Q&A
1

안녕하세요.
아이티윈네트웍스 이승수입니다.

다름이 아니오라 윈도우 이벤트 로그 앱을 다운로드 받아 RDP 서비스 이벤트에 대해 내부 테스트하고 있습니다만,
수집 모델의 search 명령어 조건에 아래와 같이 and 조건으로 2개가 설정되어 있던데
event_id가 무조건 21(로그온)과 23(로그오프)으로 기록되지는 않았습니다.
그러다 보니 대부분의 기록을 drop하는 상황이 발생되었습니다.
24번과 25번도 추가해야되지 않을까 생각됩니다.

search channel == “Microsoft-Windows-TerminalServices-LocalSessionManager/Operational” and in(event_id, “23”)

본인PC에서 확인한 event_id 값
21 - 세션 로그온 성공
22 - 셀 시작 알림 받음(불필요?)
23 - 세션 로그오프 성공
24 - 세션 연결 끊김
25 - 세션 다시 연결 성공

2

안녕하세요,

해당 룰은 인증 성공 시 탐지하는 것이 목표이고, 위협 탐지 룰은 그 목적 상 발생하는 모든 로그에 대응해서 탐지하는게 목적이 아닙니다. 인증이 유효하고 네트워크가 불안정한 상태이면 세션 연결이 끊기고 즉시 다시 연결되면서 다수의 윈도우 이벤트가 발생하겠습니다만 위협 탐지 관점에서 모든 윈도우 이벤트가 소나 이벤트를 발생해야 할 정도로 유의미한 것은 아닙니다. (오히려 불필요한 이벤트를 최소로 줄여야 합니다.)

감사합니다-