Note sul log eventi
4688 è il record di creazione processi dell'OS base, a patto che l'auditing della command-line sia acceso. Ecco cosa c'è dentro, in cosa differisce da Sysmon 1 e i pattern di triage che si guadagnano lo stipendio.
4720 scatta ogni volta che viene creato un account utente, locale o di dominio. Leggilo con 4722, 4724 e 4732 e catturi gli account di persistenza e movimento laterale in pochi minuti.
4768 è il record del DC di ogni TGT emesso. Leggilo attraverso il codice di risultato e il flag pre-auth e individui AS-REP roasting, brute force e abuso di unconstrained delegation.
4769 è il record del DC di ogni richiesta di service ticket. Leggilo attraverso il tipo di cifratura e individui il kerberoasting. Leggilo con 4768 e individui il pass-the-ticket.
7036 scatta ogni volta che un servizio parte o si ferma. Abbinato a 7045 conferma se la persistenza è davvero girata. Da solo rivela abuso di servizi, evasione difensiva e anomalie di boot.
Cinque modi per aprire un file .evtx di Windows: nel browser, in Event Viewer, con wevtutil, con EvtxECmd o con python-evtx. Scegliete in base all'OS dell'host e a quanta frizione tollerate.
Un file .evtx è un log eventi di Windows binario. Dove si trovano, cosa contengono, in cosa differiscono dai .evt e come aprirli. Nessuna installazione richiesta.
Quattro modi per prelevare .evtx da un host Windows vivo: wevtutil, FTK Imager, KAPE, NTFS grezzo. Con i compromessi sulla catena di custodia per ciascuno e i comandi che lancerai davvero.
4625 è il record di logon fallito. Leggilo bene e individui password spray, credential stuffing e abuso di Kerberos prima che si trasformino in un successo.