イベントログ ノート
4688 は、コマンドライン監査が有効なら、ベース OS のプロセス作成レコードです。中身、Sysmon 1 との違い、本領を発揮するトリアージ パターンを解説します。
4720 はローカル/ドメインを問わず、ユーザー アカウントが作成されるたびに発火します。4722、4724、4732 と一緒に読めば、永続化アカウントと横方向移動アカウントを数分で捕まえられます。
4768 は DC が発行したすべての TGT の記録です。結果コードと pre-auth フラグで読めば、AS-REP roasting、ブルートフォース、unconstrained delegation の悪用を見つけられます。
4769 は DC が発行したすべてのサービス チケット リクエストの記録です。暗号化タイプで読めば kerberoasting を、4768 と一緒に読めば pass-the-ticket を見つけられます。
7036 はサービスの開始/停止のたびに発火します。7045 と組み合わせれば、永続化が実際に動いたかを確認できます。単独でもサービス濫用、防御回避、ブート異常を明らかにします。
Windows .evtx ファイルを開く 5 つの方法: ブラウザ、Event Viewer、wevtutil、EvtxECmd、python-evtx。ホスト OS と許容できる手間で選んでください。
.evtx ファイルはバイナリの Windows イベントログです。配置場所、中身、.evt との違い、開き方を解説。インストール不要。
ライブの Windows ホストから .evtx を取り出す 4 つの方法: wevtutil、FTK Imager、KAPE、生 NTFS。それぞれの証拠保全上のトレードオフと、実際に実行するコマンドを紹介します。
4625 はログオン失敗レコードです。正しく読めば、成功に転じる前にパスワード スプレー、クレデンシャル スタッフィング、Kerberos の悪用を見つけられます。