Note sul log eventi
Note brevi sul formato binario del log eventi di Windows, sugli Event ID utili in forense e sui flussi di triage.
Il 4663 è l'audit per-accesso sugli oggetti. Le giuste SACL danno un log di chi tocca cosa — utile per ransomware, exfil e furto di credential store.
Il 4672 segnala ogni logon che riceve privilegi sensibili come SeDebugPrivilege o SeTcbPrivilege: è il marcatore «logon admin-equivalent».
Il 4688 è il process create del SO di base — se il command-line auditing è on. Cosa contiene, come differisce dal Sysmon 1 e i pattern di triage utili.
Il 4720 si attiva ogni volta che viene creato un account utente — localmente o in AD. Leggilo insieme a 4722/4724/4732 e individui account di persistenza e movimento laterale in pochi minuti.
Il 4768 è il record del DC di ogni TGT emesso. Leggilo attraverso il codice di risultato e il flag di pre-auth e individui AS-REP roasting, brute force e abusi di unconstrained delegation.
Il 4769 è il record del DC di ogni richiesta di service ticket. Leggilo attraverso il tipo di encryption e individui il kerberoasting; leggilo insieme al 4768 e individui il pass-the-ticket.
Il 7036 si attiva ogni volta che un servizio parte o si ferma. Abbinato al 7045 conferma se la persistenza ha davvero girato — e da solo rivela abusi di servizio, defense evasion e anomalie di boot.
Cinque modi per aprire un file .evtx di Windows — nel browser, con il Visualizzatore eventi, wevtutil, EvtxECmd o python-evtx. Scegli in base al tuo OS e all'attrito che puoi tollerare.
Un file .evtx è un Windows Event Log binario. Dove si trovano, cosa contengono, in cosa differiscono dai .evt e come aprirli senza installare nulla.