Sitemap
All pages on the site.
ホーム
イベントログ ノート
- 削除された EVTX レコードのカービングとロールオーバー ログの復元
- Security.evtx でラテラル ムーブメントを検知する
- イベント ログ クリアと、生き残るギャップ
- EVTX ファイル形式の解読
- EVTX トリアージ: 1 時間と 1 台のホストがあるときに最初に読むもの
- PowerShellロギング: モジュールロギングとスクリプトブロックロギングを有効にすると何が得られるか
- 実際の攻撃者を捕らえるSysmon設定
- Event ID 4663 を解説: SACL によるファイルとレジストリのアクセス監査
- Event ID 4672 を解説: Windows での特権ログオン検出
- Event ID 4688 を解説: DFIR のための Windows プロセス作成監査
- Event ID 4720 を解説: AD 内の不正アカウント作成を検出する
- Event ID 4768 を解説: Kerberos TGT リクエストと AS-REP roasting
- Event ID 4769 を解説: Kerberos サービス チケットと kerberoasting
- Event ID 7036 を解説: DFIR トリアージのためのサービス状態変更
- .evtx ファイルの開き方 (5 つの方法、インストール不要)
- .evtx ファイルとは何か? Windows イベントログ形式の解説
- 稼働中の Windows システムから .evtx ログを収集する方法 (4 種類)
- Event ID 4625 を解説: ブルートフォース、スプレー、列挙の検出
- Event ID 1102 を解説: Security 監査ログのクリア (と残るもの)
- EVTX ファイル形式を解説: チャンク、テンプレート、BinXML 内部
- PowerShell Event ID 4104 を解読する:DFIR のためのスクリプトブロック ロギング
- Event ID 7045 を解読する:永続化シグナルとしてのサービス インストール
- Sysmon Event ID 1 を解読する:DFIR トリアージのためのプロセス作成
- イベントID 4624 とは:Windows ログオン成功とログオンタイプ早見表
- ここから始める: DFIR アナリストのための .evtx ガイド