Skip to content

Notas sobre el registro de eventos

4688 es el registro de creación de procesos del SO base, siempre que la auditoría de línea de comandos esté activa. Esto es lo que contiene, en qué se diferencia de Sysmon 1 y los patrones de triaje que se ganan su sitio.
4720 se dispara cada vez que se crea una cuenta de usuario, local o de dominio. Léelo con 4722, 4724 y 4732 y atrapas cuentas de persistencia y movimiento lateral en minutos.
4768 es el registro del DC de cada TGT emitido. Léelo a través del código de resultado y el flag de pre-auth y detectarás AS-REP roasting, fuerza bruta y abuso de delegación sin restricciones.
4769 es el registro del DC de cada solicitud de ticket de servicio. Léelo a través del tipo de cifrado y detectarás kerberoasting. Léelo con 4768 y detectarás pass-the-ticket.
7036 se dispara cada vez que un servicio arranca o se detiene. Emparejado con 7045 confirma si la persistencia realmente se ejecutó. Por sí solo revela abuso de servicios, evasión de defensa y anomalías de arranque.
Cinco formas de abrir un archivo .evtx de Windows: en tu navegador, en Event Viewer, con wevtutil, con EvtxECmd o con python-evtx. Elige por SO del host y cuánta fricción aguantas.
Un archivo .evtx es un Registro de eventos de Windows binario. Dónde viven, qué hay dentro, en qué se diferencian de .evt y cómo abrirlos. Sin instalar nada.
Cuatro maneras de sacar .evtx de un host Windows vivo: wevtutil, FTK Imager, KAPE, NTFS crudo. Con los compromisos de cadena de custodia de cada uno y los comandos que realmente ejecutarás.
4625 es el registro de logon fallido. Léelo bien y detectarás password sprays, credential stuffing y abuso de Kerberos antes de que se conviertan en éxito.