Sitemap
All pages on the site.
Home
Note sul log eventi
- Carving di record EVTX cancellati e recupero di log sovrascritti
- Rilevare il movimento laterale in Security.evtx
- Cancellazione del log eventi e i buchi che sopravvivono
- Il formato di file EVTX, decodificato
- Triage EVTX: cosa leggere per primo quando hai un'ora e un host
- Logging di PowerShell: cosa ottenete con module logging e script block logging attivi
- Configurazione Sysmon che cattura adversary veri
- Event ID 4663 spiegato: audit di accesso a file e registro con SACL
- Event ID 4672 spiegato: rilevare logon privilegiati in Windows
- Event ID 4688 spiegato: auditing di creazione processi Windows per il DFIR
- Event ID 4720 spiegato: rilevare la creazione di account malevoli in AD
- Event ID 4768 spiegato: richieste TGT Kerberos e AS-REP roasting
- Event ID 4769 spiegato: service ticket Kerberos e kerberoasting
- Event ID 7036 spiegato: cambi di stato dei servizi per il triage DFIR
- Come aprire un file .evtx (5 metodi, nessuna installazione richiesta)
- Cos'è un file .evtx? Il formato del log eventi di Windows spiegato
- Come raccogliere i log .evtx da un sistema Windows vivo (4 metodi)
- Event ID 4625 spiegato: rilevare brute force, spray ed enumerazione
- Event ID 1102 spiegato: log di audit Security cancellato (e cosa sopravvive)
- Formato di file EVTX spiegato: chunk, template e interni BinXML
- PowerShell Event ID 4104 spiegato: scriptblock logging per DFIR
- Event ID 7045 spiegato: installazione di servizio come segnale di persistenza
- Sysmon Event ID 1 spiegato: creazione processo per triage DFIR
- Event ID 4624 spiegato: logon Windows riuscito e riferimento LogonType
- Inizia qui: guida a .evtx per l'analista DFIR