Event ID 4688: A new process has been created (Security)

Cosa registra davvero questo Event ID su disco, i campi EventData da leggere per primi e dove si colloca in un workflow di triage DFIR.

Canale: Security
Provider: Windows\Security
Note di triage: Base-OS process creation. Command-line audit must be enabled to see arguments.

Guida approfondita

Event ID 4688 spiegato: auditing della creazione di processi Windows per DFIRLeggi l'analisi completa →