Search

Search the blog.

Event ID 4663 expliqué : audit d'accès aux fichiers et au registre via SACL
4663 est l'enregistrement d'audit objet par accès. Configurez les SACL sur les bons fichiers et clés pour un log de qui a touché quoi.
Event ID 4672 expliqué : détecter les connexions privilégiées sous Windows
4672 se déclenche dès qu'une connexion reçoit des privilèges sensibles comme SeDebugPrivilege. C'est le signal « cette session est admin-équivalent ».
Event ID 4688 expliqué : audit de création de processus Windows pour le DFIR
4688 est l'enregistrement de création de processus de l'OS — à condition d'activer l'audit de ligne de commande. Contenu, différences avec Sysmon 1 et patterns de triage.
Event ID 4720 expliqué : détecter la création de compte malveillant dans AD
4720 se déclenche à chaque création de compte utilisateur — local ou AD. Lu avec 4722/4724/4732, il révèle persistance et comptes de mouvement latéral en minutes.
Event ID 4768 expliqué : demandes de TGT Kerberos et AS-REP roasting
4768 est l'enregistrement DC de chaque TGT émis. Lu via le code de résultat et le flag de pré-authentification, il révèle AS-REP roasting, brute force et abus de délégation non contrainte.
Event ID 4769 expliqué : tickets service Kerberos et kerberoasting
4769 est l'enregistrement DC de chaque demande de ticket service. Lu via le type de chiffrement, il révèle le kerberoasting ; lu avec 4768, il révèle le pass-the-ticket.
Event ID 7036 expliqué : changements d'état de service pour le triage DFIR
7036 se déclenche à chaque démarrage ou arrêt de service. Couplé à 7045, il confirme si la persistance a réellement tourné — et seul, il révèle abus de service, évasion défensive et anomalies de boot.
Comment ouvrir un fichier .evtx (5 méthodes, sans installation requise)
Cinq façons d'ouvrir un fichier Windows .evtx — dans votre navigateur, dans l'Observateur d'événements, avec wevtutil, EvtxECmd ou python-evtx. Choisissez selon l'OS hôte et la friction acceptable.
Qu'est-ce qu'un fichier .evtx ? Le format Windows Event Log expliqué
Un fichier .evtx est un journal d'événements Windows binaire. Où ils résident, ce qu'ils contiennent, en quoi ils diffèrent du .evt, et comment les ouvrir — sans rien installer.
Comment collecter les logs .evtx d'un système Windows actif (4 méthodes)
Quatre façons d'extraire des .evtx d'un hôte Windows actif — wevtutil, FTK Imager, KAPE, NTFS brut — avec les compromis de chaîne de possession et les commandes à utiliser.
Event ID 4625 expliqué : détecter brute force, sprays et énumération
Le 4625 est l'enregistrement d'échec de connexion. Bien lu, il révèle password sprays, credential stuffing et abus Kerberos avant qu'ils ne réussissent.
Event ID 1102 expliqué : journal d'audit Security effacé (et ce qui survit)
1102 est le seul événement qu'on ne peut pas supprimer sans laisser plus de traces. Voici ce qu'il vous dit et ce qui survit à l'effacement.
Format de fichier EVTX expliqué : chunks, templates et internals BinXML
Comment un fichier .evtx est agencé au niveau octet — en-tête de fichier, chunks de 64 Ko, table de templates et flux d'enregistrements BinXML qui la référence.
PowerShell Event ID 4104 expliqué : scriptblock logging pour le DFIR
Le scriptblock logging est le contrôle défensif gratuit le plus utile de Windows. Il enregistre le corps complet du script — y compris obfusqué ou en mémoire — sous l'événement 4104.
Event ID 7045 expliqué : installation de service comme signal de persistance
La création de service est l'une des techniques de persistance les plus bruyantes. L'événement 7045 capture chaque install — lisez ces trois champs et vous en attraperez l'essentiel.
Sysmon Event ID 1 expliqué : création de processus pour le triage DFIR
L'événement 1 de Sysmon est l'enregistrement de création de processus le plus riche que Windows puisse produire. Voici ce qu'il contient et comment le trier rapidement.
Event ID Windows 4624 : décoder chaque connexion réussie
Ce que contient réellement un enregistrement 4624, pourquoi le champ LogonType compte plus que l'événement lui-même, et comment les lire à grande échelle.
Lire le format binaire du journal d'événements Windows
Un court rappel sur la structure des fichiers .evtx, ce que contient chaque événement, et pourquoi ce format binaire compte en forensique.

Search

Event ID 4663 expliqué : audit d'accès aux fichiers et au registre via SACL

Event ID 4672 expliqué : détecter les connexions privilégiées sous Windows

Event ID 4688 expliqué : audit de création de processus Windows pour le DFIR

Event ID 4720 expliqué : détecter la création de compte malveillant dans AD

Event ID 4768 expliqué : demandes de TGT Kerberos et AS-REP roasting

Event ID 4769 expliqué : tickets service Kerberos et kerberoasting

Event ID 7036 expliqué : changements d'état de service pour le triage DFIR

Comment ouvrir un fichier .evtx (5 méthodes, sans installation requise)

Qu'est-ce qu'un fichier .evtx ? Le format Windows Event Log expliqué

Comment collecter les logs .evtx d'un système Windows actif (4 méthodes)

Event ID 4625 expliqué : détecter brute force, sprays et énumération

Event ID 1102 expliqué : journal d'audit Security effacé (et ce qui survit)

Format de fichier EVTX expliqué : chunks, templates et internals BinXML

PowerShell Event ID 4104 expliqué : scriptblock logging pour le DFIR

Event ID 7045 expliqué : installation de service comme signal de persistance

Sysmon Event ID 1 expliqué : création de processus pour le triage DFIR

Event ID Windows 4624 : décoder chaque connexion réussie

Lire le format binaire du journal d'événements Windows