Beschreibung:

Die Hackalarmierungen werden durch Auftreten von gewissen Ereignissen im Windows Ereignislog ermittelt. Du kannst diese Ereignisse wie folgt finden.


PowerShell

Mit diesem Script: Get Event from Hack alert


Ereignisanzeige

  • Öffne die Windows Ereignisanzeige (beispielsweise durch Eingabe von "eventvwr" im Ausführen-Dialog)
  • Wähle hier Ereignisanzeige → Windows-Protokolle → Sicherheit 
  • Suche hier nun das entsprechende Event anhand der Uhrzeit heraus, zu der die Hackalarmierung aufgetreten ist. Häufig ist dies beispielsweise ein Event der EventID 4625 - alternativ suche nach dem Schlüsselwort "Fehler beim Anmelden eines Kontos." oder "Anmeldung fehlgeschlagen". 
  • Anhand des so gefundenen Events kannst Du weitere Informationen erhalten:


Die bisherige Vorgehensweise, dass Hackalarmierungen im SEHA-Log gespeichert werden, ist nicht mehr möglich, da Windows das Kopieren von Ereignissen nicht mehr erlaubt. Du findest die Ereignisse daher jetzt exklusiv in der Originalquelle.