4688(S): Se ha creado un nuevo proceso.

Se aplica a

  • Windows 10
  • WindowsServer2016
Event 4688 illustration

Subcategoría: Auditar creación de procesos

Descripción del evento:

Este evento se genera cada vez que se inicia un nuevo proceso.

Nota  Para obtener recomendaciones, consulte Recomendaciones de supervisión de seguridad para este evento.


XML del evento:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4688</EventID> 
 <Version>2</Version> 
 <Level>0</Level> 
 <Task>13312</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-11-12T02:24:52.377352500Z" /> 
 <EventRecordID>2814</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="4" ThreadID="400" /> 
 <Channel>Security</Channel> 
 <Computer>WIN-GG82ULGC9GO.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">WIN-GG82ULGC9GO$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="NewProcessId">0x2bc</Data> 
 <Data Name="NewProcessName">C:\\Windows\\System32\\rundll32.exe</Data> 
 <Data Name="TokenElevationType">%%1938</Data> 
 <Data Name="ProcessId">0xe74</Data> 
 <Data Name="CommandLine" /> 
 <Data Name="TargetUserSid">S-1-5-21-1377283216-344919071-3415362939-1104</Data> 
 <Data Name="TargetUserName">dadmin</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetLogonId">0x4a5af0</Data> 
 <Data Name="ParentProcessName">C:\\Windows\\explorer.exe</Data> 
 <Data Name="MandatoryLabel">S-1-16-8192</Data> 
 </EventData>
</Event>

Roles de servidor necesarios: Ninguno.

Versión mínima del sistema operativo: Windows Server 2008, Windows Vista.

Versiones de evento:

  • 0 - Windows Server 2008, Windows Vista.

  • 1 - Windows Server 2012 R2, Windows 8.1.

    • Se ha agregado el campo "línea de comandos de proceso".
  • 2 - Windows 10.

    • Se ha cambiado el nombre del sujeto a sujeto creador.

    • Se ha agregado la sección "sujeto de destino".

    • Se ha agregado el campo "etiqueta obligatoria".

    • Se ha agregado el campo "nombre del proceso creador".

Descripciones del campo:

Sujeto creador [Valor para las versiones 0 y 1 – Sujeto]:

  • Id. de seguridad [Tipo = SID]: SID de la cuenta que solicitó la operación "crear proceso". El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

Nota  Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un elemento de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Tipo = UnicodeString]: el nombre de la cuenta que solicitó la operación “crear proceso”.

  • Dominio de cuenta [Tipo = UnicodeString]: dominio o nombre del equipo del sujeto. Los formatos pueden variar e incluyen lo siguiente:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Id. de inicio de sesión [Tipo = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo Id. de inicio de sesión, por ejemplo, "4624: Una cuenta ha iniciado sesión correctamente".

Sujeto de destino [Versión 2 ]:

Nota  Este evento incluye la entidad de seguridad del creador del proceso, pero esto no siempre es suficiente si el contexto de destino es diferente del contexto del creador. Si se da dicha situación, el sujeto especificado en el evento de finalización del proceso no coincidirá con el sujeto en el evento de creación del proceso, aunque ambos eventos hagan referencia al mismo Id. de proceso. Por lo tanto, además de incluir al creador del proceso, también se incluirá la entidad de seguridad de destino cuando el creador y el destino no compartan el mismo inicio de sesión.

  • Id. de seguridad [Tipo = SID] [Versión 2]: SID de la cuenta de destino. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

Nota  Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un elemento de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Tipo = UnicodeString] [Versión 2]: el nombre de la cuenta de destino.

  • Dominio de cuenta [Tipo = UnicodeString] [Versión 2]: dominio o nombre del equipo de la cuenta de destino. Los formatos pueden variar e incluyen lo siguiente:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Id. de inicio de sesión [Tipo = HexInt64 ] [Versión 2]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo Id. de inicio de sesión, por ejemplo, “4624: Una cuenta ha iniciado sesión correctamente".

Información de proceso:

  • Id. de proceso nuevo [Tipo = Puntero]: Id. de proceso hexadecimal del nuevo proceso. El Id. de proceso (PID) es un número que el sistema operativo utiliza para identificar de forma exclusiva un proceso activo. Para ver el PID de un proceso específico puede, por ejemplo, usar el Administrador de tareas (pestaña Detalles, columna PID):

    Task manager illustration

Si convierte el valor hexadecimal en decimal, puede compararlo con los valores en el Administrador de tareas.

  • Nombre del nuevo proceso [Tipo = UnicodeString]: ruta de acceso completa y nombre del archivo ejecutable para el nuevo proceso.

  • Tipo de elevación de token [Tipo = UnicodeString ]:

    • TokenElevationTypeDefault (1): El tipo 1 es un token completo sin privilegios eliminados o grupos deshabilitados. Un token completo solo se usa si el Control de cuentas de usuario (UAC) está deshabilitado o si el usuario es la cuenta predefinida de administrador (para el que UAC está deshabilitado de forma predeterminada), cuenta de servicio o cuenta del sistema local.

    • TokenElevationTypeFull (2): El tipo 2 es un token con privilegios elevados sin privilegios eliminados o grupos deshabilitados. Un token con privilegios elevados se usa cuando el Control de cuentas de usuario está habilitado y el usuario decide iniciar el programa mediante Ejecutar como administrador. Un token con privilegios elevados también se usa cuando una aplicación está configurada para requerir siempre privilegios administrativos o el privilegio máximo y cuando el usuario es miembro del grupo de administradores.

    • TokenElevationTypeLimited (3): El tipo 3 es un token limitado con privilegios administrativos eliminados y grupos administrativos deshabilitados. El token limitado se usa cuando el Control de cuentas de usuario está habilitado, la aplicación no requiere privilegios administrativos y el usuario no decide iniciar el programa mediante Ejecutar como administrador.

  • Etiqueta obligatoria [Versión 2] [Tipo = SID]: SID de etiqueta de integridad que se asignó al nuevo proceso. Puede tener uno de los siguientes valores:

SID RID Etiqueta de RID Significado
S-1-16-0 0x00000000 SECURITY_MANDATORY_UNTRUSTED_RID No de confianza.
S-1-16-4096 0x00001000 SECURITY_MANDATORY_LOW_RID Integridad baja.
S-1-16-8192 0x00002000 SECURITY_MANDATORY_MEDIUM_RID Integridad media.
S-1-16-8448 0x00002100 SECURITY_MANDATORY_MEDIUM_PLUS_RID Integridad de nivel medio-alto.
S-1-16-12288 0X00003000 SECURITY_MANDATORY_HIGH_RID Integridad alta.
S-1-16-16384 0x00004000 SECURITY_MANDATORY_SYSTEM_RID Integridad del sistema.
S-1-16-20480 0x00005000 SECURITY_MANDATORY_PROTECTED_PROCESS_RID Proceso protegido.
  • Id. de proceso creador [Tipo = Puntero]: Id. de proceso hexadecimal del proceso que ejecutó el nuevo proceso. Si convierte el valor hexadecimal en decimal, puede compararlo con los valores en el Administrador de tareas.

Además, puede relacionar este Id. de proceso con un Id. de proceso en otros eventos, por ejemplo, "4688: Se ha creado un proceso nuevo" Process Information\New Process ID.

  • Nombre del proceso creador [Versión 2] [Tipo = UnicodeString]: ruta de acceso completa y nombre del archivo ejecutable para el proceso.

  • Línea de comandos de proceso [Versión 1, 2] [Tipo = UnicodeString]: contiene el nombre del archivo ejecutable y los argumentos que se pasaron al mismo. Debe habilitar la directiva de grupo “Administrative Templates\System\Audit Process Creation\Incluir la línea de comandos en eventos de creación de procesos” para incluir línea de comandos en eventos de creación de procesos:

    Group policy illustration

    De forma predeterminada, el campo Procesar línea de comandos está vacío.

Recomendaciones de supervisión de seguridad.

Para 4688(S): Se ha creado un nuevo proceso.

Tipo de supervisión necesaria Recomendación
Cuentas de gran valor: Es posible que tenga un dominio o cuentas locales de gran valor para las que necesita supervisar cada acción.
Algunos ejemplos de cuentas de gran valor son administradores de bases de datos, cuentas de administrador local integradas, administradores de dominio, cuentas de servicio, cuentas de controlador de dominio, etc.
Supervise todos los eventos con el “Creator Subject\Security ID” o “Target Subject\Security ID” que se corresponda con la cuenta o cuentas de gran valor.
Anomalías o acciones malintencionadas: Es posible que tenga necesidades específicas a la hora de detectar anomalías o de supervisar posibles acciones malintencionadas. Por ejemplo, puede que necesite supervisar el uso de una cuenta fuera de horario laboral. Al supervisar si hay alguna anomalía o acción malintencionada, utilice el "Creator Subject\Security ID" o “Target Subject\Security ID” (con otra información) para supervisar cómo o cuándo se está usando una cuenta determinada.
Cuentas no activas: Puede que tenga cuentas no activas, deshabilitadas o de invitado, u otras cuentas que nunca deban usarse. Puede supervisar todos los eventos con "Creator Subject\Security ID" o "Target Subject\Security ID" que se corresponda con las cuentas que nunca deban usarse.
Lista de elementos permitidos de cuentas: es posible que tenga una lista de cuentas permitidas que son las únicas que pueden realizar acciones relacionadas con eventos determinados. Si este evento se corresponde con una acción exclusiva de la lista de elementos permitidos, revise "Creator Subject\Security ID" y "Target Subject\Security ID" para cuentas que se encuentren fuera de la lista de elementos permitidos.
Cuentas de distintos tipos: Puede que quiera asegurarse de que algunas acciones solo se realicen con determinados tipos de cuenta, por ejemplo, una cuenta local o de dominio, una cuenta de equipo o de usuario, una cuenta de proveedor o de empleado, etc. Si este evento se corresponde con una acción que desee supervisar para determinados tipos de cuenta, revise el "Creator Subject\Security ID" o “Target Subject\Security ID” para ver si el tipo de cuenta coincide con el esperado.
Cuentas externas: Puede que esté supervisando las cuentas de otro dominio o cuentas "externas" que no pueden realizar determinadas acciones (representadas por determinados eventos específicos). Supervise los eventos específicos para el "Creator Subject\Security ID" o “Target Subject\Security ID” correspondiente a las cuentas de otro dominio o cuentas "externas".
Equipos o dispositivos de uso restringido: Es posible que tenga determinados equipos, máquinas o dispositivos en los que determinados usuarios (cuentas) no deban realizar ninguna acción por lo general. Puede supervisar el destino Equipo: (u otro dispositivo de destino) para las acciones que realiza el "Creator Subject\Security ID" o “Target Subject\Security ID” que le preocupan.
Convenciones de nomenclatura de cuentas: Puede que su organización cuente con convenciones de nomenclatura específicas para los nombres de cuenta. Puede supervisar "Creator Subject\Security ID" o “Target Subject\Security ID” para los nombres que no sigan las convenciones de nomenclatura.
  • Si tiene un “Nuevo Nombre del proceso” predefinido o un “Nombre de proceso creador” para el proceso registrado en este evento, puede supervisar todos los eventos con “Nuevo Nombre de proceso” o “Nombre de proceso creador” que no sea igual al valor definido.

  • Puede supervisar para ver si "Nuevo Nombre del proceso" o "Nombre de proceso creador" no se encuentra en una carpeta estándar (por ejemplo, no está en System32 o en Archivos de programa) o se encuentra en una carpeta restringida (por ejemplo, Archivos temporales de Internet).

  • Si tiene una lista predefinida de subcadenas o palabras restringidas en nombres de procesos (por ejemplo, "mimikatz" o "cain.exe"), busque estas subcadenas en "Nueva Nombre del proceso" o "Nombre de proceso creador".

  • Puede ser poco habitual que un proceso se ejecute con una cuenta local en Creator Subject\Security ID o en Target Subject\Security ID.

  • Puede supervisar el Tipo de elevación de token con valor TokenElevationTypeDefault (1) cuando Subject\Security ID muestra una cuenta de usuario real, por ejemplo, cuando el Nombre de cuenta no contiene el símbolo $. Normalmente, esto significa que el UAC está deshabilitado para esta cuenta por algún motivo.

  • Puede supervisar el Tipo de elevación de token con valor TokenElevationTypeDefault (2) en estaciones de trabajo estándares cuando Subject\Security ID muestra una cuenta de usuario real, por ejemplo, cuando el Nombre de cuenta no contiene el símbolo $. Esto significa que un usuario ha ejecutado un programa con privilegios administrativos.

  • También puede supervisar el Tipo de elevación de token con valor TokenElevationTypeDefault (2) en estaciones de trabajo estándares, cuando se ha empleado un objeto de equipo para ejecutar el proceso, pero dicho objeto de equipo no es el mismo equipo en el que se produce el evento.

  • Si necesita supervisar todos los nuevos procesos con una etiqueta obligatoria específica, por ejemplo, S-1-16-20480 (proceso protegido), active la "etiqueta obligatoria" en este evento.