Проблема: Необходимо выявить несанкционированные ночные сессии входа в систему (Windows/Linux).

Причины:
- Автоматизированные атаки (подбор пароля, Pass-the-Hash) во внерабочее время.
- Действия инсайдера (администратора или пользователя с легитимным доступом).
- Компрометация учетных данных и скрытая активность.

Решение:

1. Проверка ночных входов в систему Windows


Анализ журнала безопасности (Event ID 4624):
powershell
<h2 id="filtr-vhodov-v-nerabochee-vremya-00-00-06-00-za-poslednie-7-dney">Фильтр входов в нерабочее время (00:00-06:00) за последние 7 дней</h2>

$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} -MaxEvents 1000

$Events | Where-Object {

    $_.TimeCreated.Hour -ge 0 -and $_.TimeCreated.Hour -le 6

} | Select-Object TimeCreated, 

    @{N='User';E={$_.Properties[5].Value}}, 

    @{N='IP';E={$_.Properties[18].Value}}, 

    @{N='Process';E={$_.Properties[11].Value}}


Ключевые Event ID:
- 4624 – успешный вход.
- 4648 – вход с явными учетными данными (часто используется атакующими).
- 4672 – вход с правами администратора (Special Logon).

2. Анализ ночных логинов Linux


Просмотр `/var/log/auth.log` или `secure`:
bash
<h2 id="vse-uspeshnye-ssh-loginy-v-nochnoe-vremya-00-00-06-00">Все успешные SSH-логины в ночное время (00:00-06:00)</h2>

grep "Accepted" /var/log/auth.log | awk '$3 ~ /^(00|01|02|03|04|05|06):/' | awk '{print $1, $2, $3, $9, $11}'



<h2 id="polzovateli-voshedshie-cherez-konsol-tty-nochyu">Пользователи, вошедшие через консоль (tty) ночью</h2>

last | grep -E "(00:|01:|02:|03:|04:|05:|06:)"


Детальная проверка `auditd`:
bash
<h2 id="esli-vklyuchen-auditd-uznat-kakoy-polzovatel-i-kogda-vypolnyal-komandy">Если включен auditd – узнать, какой пользователь и когда выполнял команды</h2>

ausearch -ts 00:00 -te 06:00 -m USER_LOGIN -i


3. Анализ ключевых источников для обнаружения ночной авторизации


- Windows Security Log – основной источник (запись 4624).
- Linux /var/log/wtmp – история входов (`last -f /var/log/wtmp`).
- Windows PowerShell Log (Event ID 4103/4104) – если входили и запускали скрипты.
- Sysmon (Event ID 1, 3) – фиксация процессов и сетевых подключений после входа.

4. Разграничение легитимных и подозрительных ночных сессий


- Сравнить со штатным расписанием: если в штате есть дежурные администраторы – их активность нормальна.
- Проверить тип входа: интерактивный (`2`), сетевой (`3`), служба (`5`) – ночной сетевой вход часто признак атаки.
- Выявить нестандартные процессы после входа (запуск cmd.exe, powershell.exe, wmic.exe).

5. Рекомендации по усилению


- Настроить оповещения SIEM на ночные логины для критичных аккаунтов.
- Включить аудит входа через GPO (Windows) или `auditd` (Linux) на всех серверах.
- Использовать LAPS для уникальных паролей локальных администраторов.

Главное правило: без первичных логов (Security Log, auth.log, Sysmon) невозможно достоверно установить факт ночной авторизации. Начните с дампа событий за целевой период.