Sitemap
All pages on the site.
Start
Notizen zum Ereignisprotokoll
- Gelöschte EVTX-Datensätze carven und überrollte Logs wiederherstellen
- Lateral Movement in Security.evtx erkennen
- Ereignisprotokoll-Löschung und die Lücken, die überleben
- Das EVTX-Dateiformat, entschlüsselt
- EVTX-Triage: was Sie zuerst lesen, wenn Sie eine Stunde und einen Host haben
- PowerShell-Logging: was Sie mit Modul- und Scriptblock-Logging an bekommen
- Sysmon-Konfiguration, die echte Angreifer fängt
- Event ID 4663 erklärt: Datei- und Registry-Zugriffsauditing mit SACLs
- Event ID 4672 erklärt: privilegierte Anmeldungen in Windows erkennen
- Event ID 4688 erklärt: Windows-Prozesserstellungs-Auditing für DFIR
- Event ID 4720 erklärt: bösartige Kontoerstellung in AD erkennen
- Event ID 4768 erklärt: Kerberos-TGT-Anfragen und AS-REP-Roasting
- Event ID 4769 erklärt: Kerberos-Service-Tickets und Kerberoasting
- Event ID 7036 erklärt: Dienstzustandsänderungen für die DFIR-Triage
- Eine .evtx-Datei öffnen (5 Methoden, keine Installation erforderlich)
- Was ist eine .evtx-Datei? Das Windows-Ereignisprotokollformat erklärt
- Wie man .evtx-Logs von einem laufenden Windows-System sammelt (4 Methoden)
- Event ID 4625 erklärt: Brute Force, Sprays und Enumeration erkennen
- Event ID 1102 erklärt: Security-Audit-Log geleert (und was überlebt)
- EVTX-Dateiformat erklärt: Chunks, Templates und BinXML-Interna
- PowerShell Event ID 4104 erklärt: Scriptblock-Logging für DFIR
- Event ID 7045 erklärt: Service-Installation als Persistenzsignal
- Sysmon Event ID 1 erklärt: Prozesserstellung für DFIR-Triage
- Event ID 4624 erklärt: erfolgreicher Windows-Logon und LogonType-Referenz
- Hier starten: Leitfaden eines DFIR-Analysten zu .evtx