Notas sobre logs de eventos
Notas curtas sobre o formato binário do log de eventos do Windows, Event IDs úteis em forense e fluxos de triagem.
4663 é o registro de auditoria por acesso a objeto. Configure SACLs nos arquivos e chaves certos e você ganha um log de quem tocou o quê — ransomware, exfil, roubo de credenciais.
4672 dispara quando um logon recebe privilégios sensíveis como SeDebugPrivilege ou SeTcbPrivilege. Leia como o sinal 'este logon é admin-equivalente' e o resto da auditoria se encaixa.
4688 é o registro base do SO para criação de processo — desde que command-line auditing esteja ligado. Eis o que ele contém, como difere do Sysmon 1, e os padrões de triagem que ganham o pão.
4720 dispara toda vez que uma conta de usuário é criada — localmente ou no AD. Leia-o com 4722/4724/4732 e você identifica contas de persistência e movimento lateral em minutos.
4768 é o registro do DC de cada TGT emitido. Leia-o pelo result code e pelo flag de pre-auth e você identifica AS-REP roasting, brute force e abuso de unconstrained delegation.
4769 é o registro do DC de cada requisição de service ticket. Leia-o pelo encryption type e você identifica kerberoasting; leia-o com 4768 e você identifica pass-the-ticket.
7036 dispara toda vez que um serviço inicia ou para. Combinado com 7045 confirma se a persistência de fato rodou — e sozinho revela abuso de serviço, defense evasion e anomalias de boot.
Cinco formas de abrir um arquivo .evtx do Windows — no navegador, no Event Viewer, com wevtutil, com EvtxECmd ou com python-evtx. Escolha pelo SO do host e pela fricção que você aguenta.
Um arquivo .evtx é um Windows Event Log binário. Onde ficam, o que tem dentro, em que diferem dos .evt e como abri-los — sem instalar nada.