Event ID 1: Process creation (Microsoft-Windows-Sysmon/Operational)

Was diese Event ID tatsächlich auf der Festplatte aufzeichnet, welche EventData-Felder zuerst zu lesen sind und wo sie in einem DFIR-Triage-Workflow steht.

Kanal: Microsoft-Windows-Sysmon/Operational
Anbieter: Microsoft-Windows-Sysmon%4Operational
Triage-Notizen: Command-line, hashes, parent process. The richest single record an analyst can get from Windows.

Detail-Guide

Sysmon-Event-ID 1 erklärt: Prozesserstellung für die DFIR-TriageVollständige Analyse lesen →