Search

Search the blog.

Event-ID 4663 erklärt: Datei- und Registry-Zugriff per SACL auditieren
4663 ist der Per-Access-Objekt-Audit-Datensatz. SACLs auf den richtigen Dateien und Schlüsseln geben ein Per-Byte-Log, wer was angefasst hat — gegen Ransomware, Exfil und Credential-Diebstahl.
Event-ID 4672 erklärt: privilegierte Anmeldungen unter Windows erkennen
4672 feuert, sobald einer Anmeldung sensible Rechte wie SeDebugPrivilege zugewiesen werden. Lies es als 'admin-äquivalente Sitzung' und der Rest der Audit-Policy fügt sich.
Event-ID 4688 erklärt: Windows-Prozesserstellung für DFIR auditieren
4688 ist der Base-OS-Prozesserstellungs-Datensatz — vorausgesetzt, Command-Line-Auditing ist an. Hier steht, was drin ist, wie es sich von Sysmon 1 unterscheidet und welche Triage-Muster sich lohnen.
Event-ID 4720 erklärt: heimliche Kontoerstellung in AD erkennen
4720 feuert jedes Mal, wenn ein Benutzerkonto erstellt wird — lokal oder in AD. Liest du es mit 4722/4724/4732, findest du Persistenz- und Lateral-Movement-Konten innerhalb von Minuten.
Event-ID 4768 erklärt: Kerberos-TGT-Requests und AS-REP-Roasting
4768 ist die DC-Aufzeichnung jedes ausgestellten TGT. Lies sie über den Result-Code und das Pre-Auth-Flag und du erkennst AS-REP-Roasting, Brute Force und Missbrauch unconstrained Delegation.
Event-ID 4769 erklärt: Kerberos-Service-Tickets und Kerberoasting
4769 ist die DC-Aufzeichnung jeder Service-Ticket-Anfrage. Lies sie über den Verschlüsselungstyp und du erkennst Kerberoasting; lies sie mit 4768 und du erkennst Pass-the-Ticket.
Event-ID 7036 erklärt: Dienst-Zustandswechsel für die DFIR-Triage
7036 feuert bei jedem Start oder Stopp eines Dienstes. Mit 7045 gepaart bestätigt es, ob Persistenz tatsächlich lief — und allein deckt es Dienstmissbrauch, Defense Evasion und Boot-Anomalien auf.
EVTX-Datei öffnen: 5 Methoden (ohne Installation möglich)
Fünf Wege, eine Windows-EVTX-Datei zu öffnen — im Browser, in der Ereignisanzeige, mit wevtutil, mit EvtxECmd oder mit python-evtx. Wähle nach Host-OS und gewünschter Reibung.
Was ist eine EVTX-Datei? Das Windows-Event-Log-Format erklärt
Eine EVTX-Datei ist ein binäres Windows-Ereignisprotokoll. Wo sie liegen, was drinsteckt, wie sie sich von .evt unterscheiden und wie man sie ohne Installation öffnet.
.evtx-Logs vom laufenden Windows-System holen (4 Methoden)
Vier Wege, .evtx von einem laufenden Windows-Host zu ziehen — wevtutil, FTK Imager, KAPE, rohes NTFS — mit den jeweiligen Chain-of-Custody-Trade-offs und den Befehlen, die du wirklich brauchst.
Event-ID 4625 erklärt: Brute Force, Spray und Enumeration erkennen
4625 ist der Fehlanmeldungs-Datensatz. Richtig gelesen erkennst du Password Sprays, Credential Stuffing und Kerberos-Missbrauch, bevor sie Erfolg haben.
Event-ID 1102 erklärt: Sicherheits-Audit-Log gelöscht (und was übrig bleibt)
1102 ist das eine Event, das man nicht unterdrücken kann, ohne mehr Beweise zu hinterlassen. Hier steht, was es dir sagt und was den Clear überlebt.
EVTX-Dateiformat erklärt: Chunks, Templates und BinXML-Interna
Wie eine .evtx-Datei auf Byte-Ebene aufgebaut ist — File-Header, 64-KB-Chunks, die Template-Tabelle und der BinXML-Datensatzstream, der darauf verweist.
PowerShell-Event-ID 4104 erklärt: Scriptblock-Logging für DFIR
Scriptblock-Logging ist Windows' nützlichste kostenfreie defensive Kontrolle. Sie protokolliert den vollen Script-Body — auch obfuskierte oder in-memory — unter Event 4104.
Event-ID 7045 erklärt: Dienstinstallation als Persistenzsignal
Die Erstellung von Diensten ist eine der lautesten Persistenztechniken. Event 7045 erfasst jede Installation — lies diese drei Felder und du fängst das meiste davon.
Sysmon-Event-ID 1 erklärt: Prozesserstellung für die DFIR-Triage
Sysmons Event 1 ist der reichhaltigste Prozesserstellungs-Datensatz, den Windows produzieren kann. Hier steht, was drin ist und wie man ihn schnell triagiert.
Windows-Event-ID 4624: jede Anmeldung entschlüsselt
Was ein 4624-Datensatz wirklich enthält, warum das Feld LogonType wichtiger ist als das Ereignis selbst, und wie man sie skaliert liest.
Das binäre Windows-Ereignisprotokollformat lesen
Eine kurze Einführung in den Aufbau von .evtx-Dateien, den Inhalt jedes Ereignisses und warum das Binärformat für die Forensik wichtig ist.

Search

Event-ID 4663 erklärt: Datei- und Registry-Zugriff per SACL auditieren

Event-ID 4672 erklärt: privilegierte Anmeldungen unter Windows erkennen

Event-ID 4688 erklärt: Windows-Prozesserstellung für DFIR auditieren

Event-ID 4720 erklärt: heimliche Kontoerstellung in AD erkennen

Event-ID 4768 erklärt: Kerberos-TGT-Requests und AS-REP-Roasting

Event-ID 4769 erklärt: Kerberos-Service-Tickets und Kerberoasting

Event-ID 7036 erklärt: Dienst-Zustandswechsel für die DFIR-Triage

EVTX-Datei öffnen: 5 Methoden (ohne Installation möglich)

Was ist eine EVTX-Datei? Das Windows-Event-Log-Format erklärt

.evtx-Logs vom laufenden Windows-System holen (4 Methoden)

Event-ID 4625 erklärt: Brute Force, Spray und Enumeration erkennen

Event-ID 1102 erklärt: Sicherheits-Audit-Log gelöscht (und was übrig bleibt)

EVTX-Dateiformat erklärt: Chunks, Templates und BinXML-Interna

PowerShell-Event-ID 4104 erklärt: Scriptblock-Logging für DFIR

Event-ID 7045 erklärt: Dienstinstallation als Persistenzsignal

Sysmon-Event-ID 1 erklärt: Prozesserstellung für die DFIR-Triage

Windows-Event-ID 4624: jede Anmeldung entschlüsselt

Das binäre Windows-Ereignisprotokollformat lesen