Windows 事件日志集成
本指南介绍如何在 Windows 端点上安装 KYRA EDR 代理,以收集和转发 Windows Security、System 和 Sysmon 事件日志到 KYRA MDR。
支持版本: Windows 10/11、Windows Server 2016、2019、2022、2025
前提条件
- 已安装并运行的 KYRA MDR Collector(安装指南)
- Windows 管理员访问权限
- 到收集器或直接到 KYRA 平台的网络连接
步骤 1:安装 KYRA EDR 代理
PowerShell(推荐)
以管理员身份运行 PowerShell:
# 下载并安装 KYRA EDR 代理Invoke-WebRequest -Uri "https://install.kyra.ai/edr/windows" -OutFile "$env:TEMP\kyra-edr-setup.msi"Start-Process msiexec.exe -ArgumentList "/i $env:TEMP\kyra-edr-setup.msi TENANT_ID=your-tenant-id API_KEY=your-api-key /quiet" -Wait代理将:
- 作为 Windows 服务安装(
KYRA EDR Agent) - 订阅 Security、System 和 Application 事件通道
- 开始将事件转发到 KYRA Collector 或平台
组策略部署
通过 Active Directory GPO 部署到多个端点:
- 从 控制台 > 设置 > 下载 下载 MSI
- 创建包含租户 ID 和 API 密钥的
transform.mst文件 - 通过 计算机配置 > 策略 > 软件设置 > 软件安装 部署
步骤 2:配置 Windows 审计策略
Windows 默认不记录许多关键事件。启用推荐的审计策略以获取有意义的安全遥测数据。
使用组策略(GPO)
导航到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审计策略配置:
| 类别 | 子类别 | 设置 |
|---|---|---|
| 帐户登录 | 凭据验证 | 成功、失败 |
| 帐户登录 | Kerberos 认证服务 | 成功、失败 |
| 帐户管理 | 用户帐户管理 | 成功、失败 |
| 帐户管理 | 安全组管理 | 成功、失败 |
| 登录/注销 | 登录 | 成功、失败 |
| 登录/注销 | 特殊登录 | 成功 |
| 对象访问 | 文件系统 | 失败 |
| 策略变更 | 审计策略变更 | 成功 |
| 特权使用 | 敏感特权使用 | 成功、失败 |
| 进程创建 | 进程创建 | 成功 |
| 系统 | 安全状态变更 | 成功 |
使用 PowerShell
# 启用关键审计策略auditpol /set /subcategory:"Logon" /success:enable /failure:enableauditpol /set /subcategory:"Credential Validation" /success:enable /failure:enableauditpol /set /subcategory:"User Account Management" /success:enable /failure:enableauditpol /set /subcategory:"Security Group Management" /success:enable /failure:enableauditpol /set /subcategory:"Special Logon" /success:enableauditpol /set /subcategory:"Process Creation" /success:enableauditpol /set /subcategory:"Audit Policy Change" /success:enable
# 启用进程创建事件中的命令行日志reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit" /v ProcessCreationIncludeCmdLine_Enabled /t REG_DWORD /d 1 /f重要: 启用命令行进程审计 — 不启用的话,事件 ID 4688 只显示进程名称而非完整命令。这对于检测无文件恶意软件和 LOLBins(Living Off the Land Binaries)至关重要。
步骤 3:安装 Sysmon(推荐)
Microsoft Sysmon 提供的详细进程、网络和文件活动日志远超原生 Windows 事件。
# 下载 SysmonInvoke-WebRequest -Uri "https://live.sysinternals.com/Sysmon64.exe" -OutFile "$env:TEMP\Sysmon64.exe"
# 下载 KYRA 推荐的 Sysmon 配置Invoke-WebRequest -Uri "https://install.kyra.ai/sysmon/config.xml" -OutFile "$env:TEMP\sysmonconfig.xml"
# 使用配置安装 Sysmon& "$env:TEMP\Sysmon64.exe" -accepteula -i "$env:TEMP\sysmonconfig.xml"KYRA EDR 代理会自动从 Microsoft-Windows-Sysmon/Operational 通道收集 Sysmon 事件。
监控的关键事件 ID
Windows 安全事件
| 事件 ID | 类别 | 描述 | 检测用途 |
|---|---|---|---|
| 4624 | 登录 | 成功登录 | 横向移动、异常访问 |
| 4625 | 登录 | 登录失败 | 暴力破解、密码喷洒 |
| 4648 | 登录 | 显式凭据登录 | 哈希传递、凭据盗用 |
| 4672 | 登录 | 分配特殊权限 | 权限提升 |
| 4688 | 进程 | 新进程创建 | 恶意软件执行、LOLBins |
| 4697 | 系统 | 服务已安装 | 持久化、后门安装 |
| 4720 | 帐户 | 用户帐户创建 | 未授权帐户创建 |
| 4722 | 帐户 | 用户帐户启用 | 休眠帐户激活 |
| 4728 | 帐户 | 成员添加到安全组 | 权限提升 |
| 4732 | 帐户 | 成员添加到本地组 | 本地管理员提权 |
| 4768 | Kerberos | 请求 Kerberos TGT | 票据传递、黄金票据 |
| 4769 | Kerberos | 请求 Kerberos 服务票据 | Kerberoasting |
| 4776 | 凭据 | 凭据验证 | NTLM 认证监控 |
| 5156 | 防火墙 | Windows 防火墙允许连接 | 网络活动基线 |
| 7045 | 系统 | 新服务安装 | 持久化机制 |
Sysmon 事件
| 事件 ID | 描述 | 检测用途 |
|---|---|---|
| 1 | 进程创建(含哈希) | 恶意软件检测、LOLBin 滥用 |
| 3 | 网络连接 | C2 通信、数据泄露 |
| 7 | 镜像加载(DLL) | DLL 注入、侧加载 |
| 8 | CreateRemoteThread | 进程注入 |
| 10 | 进程访问 | 凭据转储(LSASS) |
| 11 | 文件创建 | 投放器检测、暂存 |
| 13 | 注册表值设置 | 持久化、配置变更 |
| 22 | DNS 查询 | C2 域名查询、DNS 隧道 |
步骤 4:验证事件是否在流动
在 Windows 端点上
# 检查 KYRA EDR 代理是否在运行Get-Service "KYRA EDR Agent"
# 查看近期代理日志Get-Content "C:\ProgramData\KYRA\EDR\logs\agent.log" -Tail 20
# 验证事件订阅是否活跃wevtutil qe "KYRA-EDR/Operational" /c:5 /rd:true /f:text在 KYRA 控制台中
- 前往 日志搜索
- 按
source_type:windows过滤或搜索您的主机名 - 您应看到 Windows 安全事件(4624、4625 等)
- 如果安装了 Sysmon,搜索
source_type:sysmon
生成测试事件
# 生成登录失败事件(事件 ID 4625)net use \\localhost\IPC$ /user:TESTUSER wrongpassword 2>$null
# 生成进程创建事件(事件 ID 4688/Sysmon 1)cmd.exe /c whoami
# 生成帐户管理事件(事件 ID 4720)# 警告:这会创建一个实际用户 — 仅在测试系统上使用net user KYRATest P@ssw0rd123 /addnet user KYRATest /delete检测规则
KYRA MDR 包含针对 Windows 事件的内置检测规则:
| 检测 | 事件 ID | MITRE ATT&CK | 描述 |
|---|---|---|---|
| 暴力破解 | 4625 | T1110 | 短时间内多次登录失败 |
| 哈希传递 | 4624(类型 3) | T1550.002 | 来自异常来源的 NTLM 登录 |
| Kerberoasting | 4769 | T1558.003 | RC4 加密服务票据请求 |
| LSASS 访问 | Sysmon 10 | T1003.001 | 进程访问 LSASS 内存 |
| 可疑进程 | 4688/Sysmon 1 | T1059 | 已知攻击工具(mimikatz、psexec 等) |
| 新服务 | 7045 | T1543.003 | 从异常路径安装的服务 |
| 管理员组变更 | 4728/4732 | T1098 | 用户被添加到特权组 |
| 计划任务 | 4698 | T1053.005 | 新创建的计划任务 |
故障排除
控制台中无事件
- 代理运行中? 检查
Get-Service "KYRA EDR Agent" - 审计策略已启用? 运行
auditpol /get /category:*验证 - 防火墙? 确保代理可以访问收集器或
ingest.seekerslab.com:443 - 事件日志权限? 代理以
LOCAL SYSTEM身份运行,应有访问权限
缺少进程事件
- 验证 进程创建 审计已启用:
auditpol /get /subcategory:"Process Creation" - 通过步骤 2 中的注册表键启用命令行日志
- 安装 Sysmon 以获取更丰富的进程遥测
CPU 或内存使用率过高
KYRA EDR 代理通常使用不到 1% 的 CPU 和 50 MB 内存。如果使用率过高:
- 检查
C:\ProgramData\KYRA\EDR\logs\agent.log中的错误日志 - 验证 Sysmon 配置是否过于宽泛(例如记录所有网络连接)
- 重启代理:
Restart-Service "KYRA EDR Agent"