Beschreibung:
Die Hackalarmierungen werden durch Auftreten von gewissen Ereignissen im Windows Ereignislog ermittelt. Du kannst diese Ereignisse wie folgt finden.
PowerShell
Mit diesem Script: Get Event from Hack alert
Ereignisanzeige
- Öffne die Windows Ereignisanzeige (beispielsweise durch Eingabe von "eventvwr" im Ausführen-Dialog)
- Wähle hier Ereignisanzeige → Windows-Protokolle → Sicherheit
- Suche hier nun das entsprechende Event anhand der Uhrzeit heraus, zu der die Hackalarmierung aufgetreten ist. Häufig ist dies beispielsweise ein Event der EventID 4625 - alternativ suche nach dem Schlüsselwort "Fehler beim Anmelden eines Kontos." oder "Anmeldung fehlgeschlagen".
- Anhand des so gefundenen Events kannst Du weitere Informationen erhalten:
Die bisherige Vorgehensweise, dass Hackalarmierungen im SEHA-Log gespeichert werden, ist nicht mehr möglich, da Windows das Kopieren von Ereignissen nicht mehr erlaubt. Du findest die Ereignisse daher jetzt exklusiv in der Originalquelle.