Skip to content

Notes sur le journal d'événements

4688 est l'enregistrement de création de processus du système de base, à condition que l'audit de la ligne de commande soit activé. Voici ce qu'il contient, en quoi il diffère de Sysmon 1 et les motifs de triage qui gagnent leur place.
4720 se déclenche chaque fois qu'un compte utilisateur est créé, local ou de domaine. Lisez-le avec 4722, 4724 et 4732 et vous attrapez les comptes de persistance et de mouvement latéral en quelques minutes.
4768 est l'enregistrement DC de chaque TGT émis. Lisez-le via le code de résultat et le flag pre-auth et vous repérez l'AS-REP roasting, la brute force et l'abus d'unconstrained delegation.
4769 est l'enregistrement DC de chaque demande de ticket de service. Lisez-le via le type de chiffrement et vous repérez le kerberoasting. Lisez-le avec 4768 et vous repérez le pass-the-ticket.
7036 se déclenche chaque fois qu'un service démarre ou s'arrête. Associé à 7045, il confirme si la persistance a vraiment tourné. Seul, il révèle l'abus de service, l'évasion de défense et les anomalies de boot.
Cinq façons d'ouvrir un fichier .evtx Windows : dans votre navigateur, dans Event Viewer, avec wevtutil, avec EvtxECmd ou avec python-evtx. Choisissez selon l'OS de l'hôte et la friction que vous tolérez.
Un fichier .evtx est un journal d'événements Windows binaire. Où ils résident, ce qu'ils contiennent, en quoi ils diffèrent du .evt, et comment les ouvrir. Sans rien installer.
Quatre façons de récupérer du .evtx depuis un hôte Windows vivant : wevtutil, FTK Imager, KAPE, NTFS brut. Avec les compromis de chaîne de garde de chacune et les commandes que vous lancerez vraiment.
4625 est l'enregistrement d'échec de logon. Lisez-le correctement et vous repérez les password sprays, le credential stuffing et l'abus de Kerberos avant qu'ils ne réussissent.