Search

Search the blog.

Event ID 4663 を解読する:SACL によるファイル & レジストリアクセス監査
4663 はオブジェクトアクセスごとの監査レコード。適切なファイルとキーに SACL を設定すれば、誰が何に触れたかをバイト単位で記録できる — ランサムウェア、データ持ち出し、資格情報ストア窃取に有効。
Event ID 4672 を解読する:Windows での特権ログオン検知
4672 は、SeDebugPrivilege や SeTcbPrivilege のような重要な特権がログオンに付与されるたびに発火。「このログオンは管理者相当」というシグナルとして読めば、監査ポリシーの残りが腑に落ちる。
Event ID 4688 を解読する:DFIR のための Windows プロセス作成監査
4688 はベース OS のプロセス作成レコード — コマンドライン監査がオンなら。Sysmon 1 との違い、そして元を取れるトリアージパターンを解説。
Event ID 4720 を解読する:AD における不正アカウント作成の検知
4720 はユーザーアカウントが作成されるたびに発火 — ローカルでも AD でも。4722/4724/4732 と一緒に読めば、永続化や横展開用アカウントを数分で発見できる。
Event ID 4768 を解読する:Kerberos TGT 要求と AS-REP roasting
4768 は DC が発行する各 TGT のレコード。結果コードと事前認証フラグで読めば、AS-REP roasting、ブルートフォース、無制約委任の悪用を発見できる。
Event ID 4769 を解読する:Kerberos サービスチケットとケルベロースト
4769 は DC が発行する各サービスチケット要求のレコード。暗号化タイプで読めばケルベローストが、4768 と読めば pass-the-ticket が見える。
Event ID 7036 を解読する:DFIR トリアージのためのサービス状態変化
7036 はサービスの起動 / 停止のたびに発火。7045 と組み合わせれば永続化が実際に動いたかを確認でき、単体でもサービス不正利用、防御回避、起動異常を明かす。
.evtx ファイルの開き方(5 つの方法、インストール不要)
Windows の .evtx ファイルを開く 5 つの方法 — ブラウザ、イベントビューア、wevtutil、EvtxECmd、python-evtx。ホスト OS と許容できる手間に応じて選んでください。
.evtx ファイルとは何か:Windows イベントログ形式を解説
.evtx ファイルはバイナリ形式の Windows イベントログです。保存場所、内部構造、.evt との違い、そしてインストール不要で開く方法を解説します。
稼働中の Windows システムから .evtx ログを収集する方法（4 つの手段）
稼働中の Windows ホストから .evtx を取り出す 4 つの方法 — wevtutil、FTK Imager、KAPE、生の NTFS 読み取り — それぞれの証拠保全上のトレードオフと、実際に叩くコマンド。
Event ID 4625 を解読する:ブルートフォース、スプレー、列挙の検知
4625 はログオン失敗のレコード。正しく読めば、成功する前にパスワードスプレー、クレデンシャルスタッフィング、Kerberos 不正利用を捕捉できる。
Event ID 1102 を解読する:セキュリティ監査ログのクリア（と残るもの）
1102 は、より多くの証拠を残さずには抑制できない唯一のイベント。何を伝え、クリア後も何が残るのかを解説。
EVTX ファイル形式を解読する:チャンク、テンプレート、BinXML 内部
.evtx ファイルがバイトレベルでどう配置されているか — ファイルヘッダ、64 KB チャンク、テンプレートテーブル、そしてそれを参照する BinXML レコードストリーム。
PowerShell Event ID 4104 を解読する:DFIR のためのスクリプトブロックロギング
スクリプトブロックロギングは Windows で最も有用な無料の防御コントロール。難読化されたものやインメモリのものも含め、スクリプト本体全体をイベント 4104 として記録する。
Event ID 7045 を解読する:永続化シグナルとしてのサービスインストール
サービス作成は最も騒がしい永続化手法の一つ。Event 7045 は全インストールを捕捉する — 3 つのフィールドを読めばその大半を捉えられる。
Sysmon Event ID 1 を解読する:DFIR トリアージのためのプロセス作成
Sysmon のイベント 1 は Windows が生成できる最もリッチなプロセス作成レコード。中身と素早いトリアージ方法を解説。
Windows イベント ID 4624:成功したログオンを解読する
4624 レコードに実際に何が入っているのか、なぜ LogonType フィールドがイベント自体より重要なのか、トリアージで注目すべきフィールド、そして大量のレコードをフォレンジックで効率よく読み解くための実用的なヒント。
Windows イベントログのバイナリ形式を読む
.evtx ファイルの内部構造、64 KB チャンクと XML テンプレートの仕組み、各イベントに含まれる情報、そしてこのバイナリ形式が Windows のインシデント対応とフォレンジック調査でなぜ重要なのかを短くまとめた入門。

Search

Event ID 4663 を解読する:SACL によるファイル & レジストリ アクセス監査

Event ID 4672 を解読する:Windows での特権ログオン検知

Event ID 4688 を解読する:DFIR のための Windows プロセス作成監査

Event ID 4720 を解読する:AD における不正アカウント作成の検知

Event ID 4768 を解読する:Kerberos TGT 要求と AS-REP roasting

Event ID 4769 を解読する:Kerberos サービス チケットとケルベロースト

Event ID 7036 を解読する:DFIR トリアージのためのサービス状態変化

.evtx ファイルの開き方(5 つの方法、インストール不要)

.evtx ファイルとは何か:Windows イベント ログ形式を解説

稼働中の Windows システムから .evtx ログを収集する方法（4 つの手段）

Event ID 4625 を解読する:ブルートフォース、スプレー、列挙の検知

Event ID 1102 を解読する:セキュリティ監査ログのクリア（と残るもの）

EVTX ファイル形式を解読する:チャンク、テンプレート、BinXML 内部

PowerShell Event ID 4104 を解読する:DFIR のためのスクリプトブロック ロギング

Event ID 7045 を解読する:永続化シグナルとしてのサービス インストール

Sysmon Event ID 1 を解読する:DFIR トリアージのためのプロセス作成

Windows イベント ID 4624:成功したログオンを解読する

Windows イベントログのバイナリ形式を読む

Event ID 4663 を解読する:SACL によるファイル & レジストリアクセス監査

Event ID 4769 を解読する:Kerberos サービスチケットとケルベロースト

.evtx ファイルとは何か:Windows イベントログ形式を解説

PowerShell Event ID 4104 を解読する:DFIR のためのスクリプトブロックロギング

Event ID 7045 を解読する:永続化シグナルとしてのサービスインストール