Notas sobre el registro de eventos
Notas breves sobre el formato binario del registro de eventos de Windows, IDs útiles en forense y flujos de triage.
4663 es el registro de auditoría de objetos por acceso. Configura SACLs en los archivos y claves adecuados y obtienes un log de quién tocó qué — útil para ransomware, exfil y robo de credenciales.
4672 se dispara cuando un logon recibe privilegios sensibles como SeDebugPrivilege o SeTcbPrivilege. Léelo como la señal «este logon es equivalente a admin» y el resto encaja.
4688 es el registro de creación de procesos del SO base — con auditoría de línea de comandos activa. Qué contiene, cómo se diferencia de Sysmon 1 y los patrones de triage útiles.
4720 se dispara cada vez que se crea una cuenta de usuario — local o en AD. Léelo con 4722/4724/4732 y detectas cuentas de persistencia y movimiento lateral en minutos.
4768 es el registro del DC de cada TGT emitido. Léelo a través del código de resultado y la flag de pre-auth y detectas AS-REP roasting, fuerza bruta y abuso de delegación sin restricciones.
4769 es el registro del DC de cada solicitud de service ticket. Léelo a través del tipo de cifrado y detectas kerberoasting; léelo con 4768 y detectas pass-the-ticket.
7036 se dispara cada vez que un servicio arranca o se detiene. Con 7045 confirma si la persistencia se ejecutó — y solo, revela abuso de servicios y evasión de defensas.
Cinco formas de abrir un archivo .evtx de Windows — en tu navegador, en el Visor de eventos, con wevtutil, con EvtxECmd o con python-evtx. Elige según el SO y la fricción que toleres.
Un archivo .evtx es un Windows Event Log binario. Dónde se guardan, qué contienen, en qué se diferencian de .evt y cómo abrirlos — sin instalar nada.