Hayabusa项目增强：RDP登录/注销信息集成至logon-summary功能解析

背景与需求

在Windows安全审计领域，远程桌面协议（RDP）的登录/注销记录是攻击面监控的关键数据。Hayabusa作为高级安全日志分析工具，现有logon-summary功能主要基于安全事件ID 4624（登录事件），但缺乏对RDP特有日志的深度集成。本次增强旨在将TerminalServices相关事件（特别是RDS-LSM 21和RDS Gateway 302事件）纳入分析范围，完善远程会话的可视化能力。

技术实现方案

核心事件选择

经过安全专家评估，采用以下最优事件组合：

1. RDS-LSM事件21（会话登录）：记录初始RDP会话建立，排除重连事件干扰
2. RDS Gateway事件302（网关连接）：捕获通过远程桌面网关的访问
3. 安全事件4624（基础登录）：保持现有功能兼容性

字段增强设计

新版本将扩展输出字段以提升可读性：

• 事件类型：明确标注事件来源（如"Sec 4624"、"RDS-LSM 21"）
• 用户信息分层：
  • 用户名：仅提取用户标识部分（DOMAIN/user → user）
  • 目标域：从TargetDomainName提取
  • 源域：从SubjectDomainName提取
  • 源用户：记录发起者信息（SubjectUserName）

可视化优化

考虑终端显示限制，采用智能列宽调整策略：

1. 优先显示关键字段：时间戳、用户名、登录类型
2. 次级信息折叠显示：支持展开查看完整域信息
3. 颜色编码区分：本地登录与远程会话采用不同高亮方案

安全价值

该增强直接提升以下安全场景的检测能力：

• 横向移动监测：精确识别RDP跳板行为
• 权限滥用审计：区分域管理员的标准登录与远程管理
• 异常时间登录：结合时间戳分析非工作时段访问
• 凭证异常检测：匹配源用户与目标账户异常关系

实现考量

技术团队特别注意了以下设计细节：

1. 日志去重：避免因会话重连产生重复告警
2. 字段兼容性：处理不同Windows版本间的日志格式差异
3. 性能优化：新增事件处理不影响原有分析速度

结语

此次增强使Hayabusa的登录分析能力覆盖从本地到远程的全场景认证事件，为蓝队人员提供更完整的终端会话画像。该功能预计将在下个稳定版发布，用户可通过升级获得增强的RDP监控能力。