Search

Search the blog.

Event ID 4663 explicado: auditoría de acceso a archivos y registro con SACLs
4663 es el registro de auditoría de objetos por acceso. Configura SACLs en los archivos y claves adecuados y obtienes un log de quién tocó qué — útil para ransomware, exfil y robo de credenciales.
Event ID 4672 explicado: detectar logons privilegiados en Windows
4672 se dispara cuando un logon recibe privilegios sensibles como SeDebugPrivilege o SeTcbPrivilege. Léelo como la señal «este logon es equivalente a admin» y el resto encaja.
Event ID 4688 explicado: auditoría de creación de procesos en Windows para DFIR
4688 es el registro de creación de procesos del SO base — con auditoría de línea de comandos activa. Qué contiene, cómo se diferencia de Sysmon 1 y los patrones de triage útiles.
Event ID 4720 explicado: detectar creación de cuentas rogue en AD
4720 se dispara cada vez que se crea una cuenta de usuario — local o en AD. Léelo con 4722/4724/4732 y detectas cuentas de persistencia y movimiento lateral en minutos.
Event ID 4768 explicado: solicitudes Kerberos TGT y AS-REP roasting
4768 es el registro del DC de cada TGT emitido. Léelo a través del código de resultado y la flag de pre-auth y detectas AS-REP roasting, fuerza bruta y abuso de delegación sin restricciones.
Event ID 4769 explicado: service tickets Kerberos y kerberoasting
4769 es el registro del DC de cada solicitud de service ticket. Léelo a través del tipo de cifrado y detectas kerberoasting; léelo con 4768 y detectas pass-the-ticket.
Event ID 7036 explicado: cambios de estado de servicio para triage DFIR
7036 se dispara cada vez que un servicio arranca o se detiene. Con 7045 confirma si la persistencia se ejecutó — y solo, revela abuso de servicios y evasión de defensas.
Cómo abrir un archivo .evtx (5 métodos, sin instalación obligatoria)
Cinco formas de abrir un archivo .evtx de Windows — en tu navegador, en el Visor de eventos, con wevtutil, con EvtxECmd o con python-evtx. Elige según el SO y la fricción que toleres.
¿Qué es un archivo .evtx? El formato de registro de eventos de Windows explicado
Un archivo .evtx es un Windows Event Log binario. Dónde se guardan, qué contienen, en qué se diferencian de .evt y cómo abrirlos — sin instalar nada.
Cómo recolectar registros .evtx de un sistema Windows en vivo (4 métodos)
Cuatro formas de extraer .evtx de un host Windows en vivo — wevtutil, FTK Imager, KAPE, NTFS crudo — con sus compromisos de cadena de custodia y los comandos que realmente vas a ejecutar.
Event ID 4625 explicado: detectar fuerza bruta, sprays y enumeración
4625 es el registro de inicio de sesión fallido. Léelo bien y detectas password sprays, credential stuffing y abuso de Kerberos antes de que tengan éxito.
Event ID 1102 explicado: log de auditoría de seguridad borrado (y qué sobrevive)
1102 es el único evento que no puedes suprimir sin dejar más evidencia. Aquí está qué te dice y qué sobrevive al borrado.
Formato de archivo EVTX explicado: chunks, plantillas e internos de BinXML
Cómo se distribuye un archivo .evtx a nivel de byte — cabecera de archivo, chunks de 64 KB, la tabla de plantillas y el stream de registros BinXML que la referencia.
PowerShell Event ID 4104 explicado: logging de scriptblock para DFIR
El logging de scriptblock es el control defensivo gratuito más útil de Windows. Registra el cuerpo completo del script — incluyendo los ofuscados o en memoria — bajo el evento 4104.
Event ID 7045 explicado: instalación de servicio como señal de persistencia
La creación de servicios es una de las técnicas de persistencia más ruidosas. El evento 7045 captura cada instalación — lee estos tres campos y atraparás la mayor parte.
Sysmon Event ID 1 explicado: creación de procesos para triage DFIR
El evento 1 de Sysmon es el registro de creación de procesos más rico que Windows puede producir. Aquí está qué contiene y cómo triagearlo rápido.
Event ID 4624 de Windows: decodificar cada inicio de sesión
Qué contiene realmente un registro 4624, por qué el campo LogonType importa más que el propio evento, y cómo leerlos a escala.
Leer el formato binario del registro de eventos de Windows
Un breve repaso sobre cómo se organizan los archivos .evtx, qué contiene cada evento y por qué este formato importa en forense.

Search

Event ID 4663 explicado: auditoría de acceso a archivos y registro con SACLs

Event ID 4672 explicado: detectar logons privilegiados en Windows

Event ID 4688 explicado: auditoría de creación de procesos en Windows para DFIR

Event ID 4720 explicado: detectar creación de cuentas rogue en AD

Event ID 4768 explicado: solicitudes Kerberos TGT y AS-REP roasting

Event ID 4769 explicado: service tickets Kerberos y kerberoasting

Event ID 7036 explicado: cambios de estado de servicio para triage DFIR

Cómo abrir un archivo .evtx (5 métodos, sin instalación obligatoria)

¿Qué es un archivo .evtx? El formato de registro de eventos de Windows explicado

Cómo recolectar registros .evtx de un sistema Windows en vivo (4 métodos)

Event ID 4625 explicado: detectar fuerza bruta, sprays y enumeración

Event ID 1102 explicado: log de auditoría de seguridad borrado (y qué sobrevive)

Formato de archivo EVTX explicado: chunks, plantillas e internos de BinXML

PowerShell Event ID 4104 explicado: logging de scriptblock para DFIR

Event ID 7045 explicado: instalación de servicio como señal de persistencia

Sysmon Event ID 1 explicado: creación de procesos para triage DFIR

Event ID 4624 de Windows: decodificar cada inicio de sesión

Leer el formato binario del registro de eventos de Windows