Sitemap
All pages on the site.
Inicio
Notas sobre el registro de eventos
- Carving de registros EVTX borrados y recuperación de logs rotados
- Detectar movimiento lateral en Security.evtx
- Borrado del registro de eventos y los huecos que sobreviven
- El formato de archivo EVTX, descodificado
- Triaje de EVTX: qué leer primero cuando tienes una hora y un host
- Logging de PowerShell: qué obtienes con module logging y script block logging activados
- Configuración de Sysmon que atrapa adversarios reales
- Event ID 4663 explicado: auditoría de acceso a archivos y registro con SACLs
- Event ID 4672 explicado: detectar logons privilegiados en Windows
- Event ID 4688 explicado: auditoría de creación de procesos en Windows para DFIR
- Event ID 4720 explicado: detectar creación de cuentas maliciosas en AD
- Event ID 4768 explicado: solicitudes de TGT Kerberos y AS-REP roasting
- Event ID 4769 explicado: tickets de servicio Kerberos y kerberoasting
- Event ID 7036 explicado: cambios de estado de servicio para triaje DFIR
- Cómo abrir un archivo .evtx (5 métodos, sin instalación requerida)
- ¿Qué es un archivo .evtx? El formato del Registro de eventos de Windows explicado
- Cómo recolectar logs .evtx de un sistema Windows en vivo (4 métodos)
- Event ID 4625 explicado: detectar fuerza bruta, sprays y enumeración
- Event ID 1102 explicado: registro de auditoría de Security borrado (y lo que sobrevive)
- Formato de archivo EVTX explicado: chunks, plantillas e internos de BinXML
- PowerShell Event ID 4104 explicado: scriptblock logging para DFIR
- Event ID 7045 explicado: instalación de servicio como señal de persistencia
- Sysmon Event ID 1 explicado: creación de procesos para triaje DFIR
- Event ID 4624 explicado: logon exitoso de Windows y referencia LogonType
- Empieza aquí: guía de .evtx para el analista DFIR