Search

Search the blog.

Event ID 4663 spiegato: auditing degli accessi a file e registry con le SACL
Il 4663 è l'audit per-accesso sugli oggetti. Le giuste SACL danno un log di chi tocca cosa — utile per ransomware, exfil e furto di credential store.
Event ID 4672 spiegato: rilevare i logon privilegiati in Windows
Il 4672 segnala ogni logon che riceve privilegi sensibili come SeDebugPrivilege o SeTcbPrivilege: è il marcatore «logon admin-equivalent».
Event ID 4688 spiegato: auditing della creazione di processi Windows per DFIR
Il 4688 è il process create del SO di base — se il command-line auditing è on. Cosa contiene, come differisce dal Sysmon 1 e i pattern di triage utili.
Event ID 4720 spiegato: rilevare la creazione di account rogue in AD
Il 4720 si attiva ogni volta che viene creato un account utente — localmente o in AD. Leggilo insieme a 4722/4724/4732 e individui account di persistenza e movimento laterale in pochi minuti.
Event ID 4768 spiegato: richieste TGT Kerberos e AS-REP roasting
Il 4768 è il record del DC di ogni TGT emesso. Leggilo attraverso il codice di risultato e il flag di pre-auth e individui AS-REP roasting, brute force e abusi di unconstrained delegation.
Event ID 4769 spiegato: service ticket Kerberos e kerberoasting
Il 4769 è il record del DC di ogni richiesta di service ticket. Leggilo attraverso il tipo di encryption e individui il kerberoasting; leggilo insieme al 4768 e individui il pass-the-ticket.
Event ID 7036 spiegato: cambi di stato dei servizi per il triage DFIR
Il 7036 si attiva ogni volta che un servizio parte o si ferma. Abbinato al 7045 conferma se la persistenza ha davvero girato — e da solo rivela abusi di servizio, defense evasion e anomalie di boot.
Come aprire un file .evtx (5 metodi, nessuna installazione richiesta)
Cinque modi per aprire un file .evtx di Windows — nel browser, con il Visualizzatore eventi, wevtutil, EvtxECmd o python-evtx. Scegli in base al tuo OS e all'attrito che puoi tollerare.
Cos'è un file .evtx? Il formato del Windows Event Log spiegato
Un file .evtx è un Windows Event Log binario. Dove si trovano, cosa contengono, in cosa differiscono dai .evt e come aprirli senza installare nulla.
Come raccogliere log .evtx da un sistema Windows attivo (4 metodi)
Quattro modi per estrarre file .evtx da un host Windows attivo — wevtutil, FTK Imager, KAPE, lettura NTFS raw — con i compromessi sulla chain-of-custody e i comandi che userai davvero.
Event ID 4625 spiegato: rilevare brute force, password spray ed enumerazione
Il 4625 è il record dei logon falliti. Leggerlo bene significa individuare password spray, credential stuffing e abusi Kerberos prima che vadano a segno.
Event ID 1102 spiegato: log di audit Security cancellato (e cosa sopravvive)
Il 1102 è l'unico evento che non puoi sopprimere senza lasciare ulteriori tracce. Ecco cosa ti dice e cosa sopravvive alla cancellazione.
Formato file EVTX spiegato: chunk, template e interni BinXML
Come è strutturato un file .evtx a livello di byte — header del file, chunk da 64 KB, tabella dei template e lo stream di record BinXML che la referenzia.
PowerShell Event ID 4104 spiegato: scriptblock logging per DFIR
Lo scriptblock logging è il controllo difensivo gratuito più utile di Windows. Registra il corpo completo di ogni script — inclusi quelli offuscati o in-memory — sotto l'evento 4104.
Event ID 7045 spiegato: installazione di servizio come segnale di persistenza
La creazione di servizio è una delle tecniche di persistenza più rumorose. L'evento 7045 cattura ogni installazione — leggi questi tre campi e ne intercetterai la maggior parte.
Sysmon Event ID 1 spiegato: process creation per il triage DFIR
L'evento 1 di Sysmon è il record di process creation più ricco che Windows possa produrre. Ecco cosa contiene e come triarlo velocemente.
Event ID Windows 4624: decodificare ogni accesso riuscito
Cosa contiene davvero un record 4624, perché il campo LogonType conta più dell'evento stesso, e come leggerli su larga scala.
Leggere il formato binario del log eventi di Windows
Una breve introduzione su come sono strutturati i file .evtx, cosa contiene ogni evento e perché il formato binario è importante in ambito forense.

Search

Event ID 4663 spiegato: auditing degli accessi a file e registry con le SACL

Event ID 4672 spiegato: rilevare i logon privilegiati in Windows

Event ID 4688 spiegato: auditing della creazione di processi Windows per DFIR

Event ID 4720 spiegato: rilevare la creazione di account rogue in AD

Event ID 4768 spiegato: richieste TGT Kerberos e AS-REP roasting

Event ID 4769 spiegato: service ticket Kerberos e kerberoasting

Event ID 7036 spiegato: cambi di stato dei servizi per il triage DFIR

Come aprire un file .evtx (5 metodi, nessuna installazione richiesta)

Cos'è un file .evtx? Il formato del Windows Event Log spiegato

Come raccogliere log .evtx da un sistema Windows attivo (4 metodi)

Event ID 4625 spiegato: rilevare brute force, password spray ed enumerazione

Event ID 1102 spiegato: log di audit Security cancellato (e cosa sopravvive)

Formato file EVTX spiegato: chunk, template e interni BinXML

PowerShell Event ID 4104 spiegato: scriptblock logging per DFIR

Event ID 7045 spiegato: installazione di servizio come segnale di persistenza

Sysmon Event ID 1 spiegato: process creation per il triage DFIR

Event ID Windows 4624: decodificare ogni accesso riuscito

Leggere il formato binario del log eventi di Windows