Security.evtx — il registro eventi di sicurezza di Windows
Security.evtx è il canale che registra l'autenticazione, l'uso dei privilegi e la gestione degli account su un host Windows. È il log più importante in quasi ogni indagine di risposta agli incidenti, e puoi aprirlo qui nel browser senza Event Viewer né una macchina Windows.
Cos'è Security.evtx?
Security.evtx risiede in C:\Windows\System32\winevt\Logs accanto a System.evtx e Application.evtx. Contiene il canale Security: eventi di accesso e disconnessione, assegnazioni di privilegi, creazione di processi (con l'auditing della riga di comando abilitato), modifiche di account e gruppi e l'attività dei ticket Kerberos emessa dal Security Reference Monitor locale.
Poiché registra chi si è autenticato, da dove e cosa ha fatto, Security.evtx è il punto in cui movimento laterale, escalation dei privilegi e persistenza lasciano di solito la loro prima traccia. È anche un bersaglio anti-forense privilegiato — l'evento 1102 indica che il log stesso è stato cancellato.
Event ID chiave di Security.evtx
Come aprire un file Security.evtx
Rilascia Security.evtx sul parser qui sopra (oppure caricalo insieme a System.evtx e al canale Sysmon per un triage tra log). Il parsing viene eseguito localmente tramite un parser Rust/WebAssembly — il log non lascia mai il browser. Filtra per Event ID, ispeziona l'XML grezzo di ogni record ed esporta in CSV, JSON o XML.