Security.evtx — Windows のセキュリティイベントログ
Security.evtx は、Windows ホスト上の認証、特権の使用、アカウント管理を記録するチャネルです。ほぼすべてのインシデント対応調査で最も重要なログであり、Event Viewer も Windows マシンも使わずに、ここブラウザで開けます。
Security.evtx とは?
Security.evtx は C:\Windows\System32\winevt\Logs に、System.evtx や Application.evtx と並んで存在します。Security チャネルを保持し、ログオンとログオフのイベント、特権の割り当て、プロセス作成(コマンドライン監査が有効な場合)、アカウントとグループの変更、ローカルの Security Reference Monitor が発行する Kerberos チケットのアクティビティが含まれます。
誰がどこから認証し、何をしたかを捉えるため、Security.evtx は横方向の移動、特権昇格、永続化が最初の痕跡を残す場所です。また、アンチフォレンジックの主要なターゲットでもあります — イベント 1102 は、ログ自体が消去されたことを記録します。
Security.evtx の主要な Event ID
Security.evtx ファイルを開く方法
上のパーサーに Security.evtx をドロップします(または System.evtx や Sysmon チャネルと一緒に読み込んで、ログ横断のトリアージを行います)。解析は Rust/WebAssembly パーサーによってローカルで実行され — ログがブラウザの外に出ることはありません。Event ID でフィルタリングし、各レコードの生 XML を確認して、CSV、JSON、XML にエクスポートできます。