Die Hackalarmierungen werden durch Auftreten von gewissen Ereignissen im Windows Ereignislog ermittelt. Sie können diese Ereignisse wie folgt finden: 


Powershell:

Mit diesem Script: Get Event from Hack alert


Ereignisanzeige:

  • Öffnen Sie die Windows Ereignisanzeige (beispielsweise durch Eingabe von "eventvwr" im Ausführen-Dialog)
  • Wählen Sie hier Ereignisanzeige -> Windows-Protokolle -> Sicherheit 
  • Suchen Sie hier nun das entsprechende Event anhand der Uhrzeit heraus, zu der die Hackalarmierung aufgetreten ist. Häufig ist dies beispielsweise ein Event der EventID 4625 - alternativ suchen Sie nach dem Schlüsselwort "Fehler beim Anmelden eines Kontos." oder "Anmeldung fehlgeschlagen". 
  • Anhand des so gefundenen Events können Sie weitere Informationen erhalten:
     




Die bisherige Vorgehensweise, dass Hackalarmierungen im SEHA-Log gespeichert werden ist nicht mehr möglich, da Windows das Kopieren von Ereignissen nicht mehr erlaubt. Sie finden die Ereignisse daher nun exklusiv in der Originalquelle.