Skip to content

Notas sobre logs de eventos

O 4688 é o registo de criação de processo do SO base, desde que a auditoria de linha de comandos esteja ligada. Eis o que contém, em que difere do Sysmon 1 e os padrões de triagem que valem o seu lugar.
O 4720 dispara sempre que uma conta de utilizador é criada, local ou de domínio. Lê-lo com o 4722, 4724 e 4732 e apanha contas de persistência e movimento lateral em minutos.
O 4768 é o registo do DC para cada TGT emitido. Lê-lo pelo código de resultado e flag de pré-autenticação revela AS-REP roasting, brute force e abuso de unconstrained delegation.
O 4769 é o registo do DC de cada pedido de service ticket. Lê-lo pelo tipo de encriptação e revela kerberoasting. Lê-lo com o 4768 e revela pass-the-ticket.
O 7036 dispara sempre que um serviço inicia ou para. Combinado com o 7045 confirma se a persistência realmente correu. Por si só revela abuso de serviços, evasão de defesa e anomalias de arranque.
Cinco formas de abrir um ficheiro .evtx do Windows: no browser, no Event Viewer, com wevtutil, com EvtxECmd ou com python-evtx. Escolha pelo SO do host e pela fricção que aguenta.
Um ficheiro .evtx é um log binário de eventos do Windows. Onde vivem, o que está lá dentro, como diferem dos .evt e como abri-los. Sem instalação.
Quatro formas de extrair .evtx de um host Windows ativo: wevtutil, FTK Imager, KAPE, NTFS em bruto. Com os compromissos de cadeia de custódia de cada um e os comandos que vai mesmo executar.
O 4625 é o registo de logon falhado. Lê-lo bem permite identificar password sprays, credential stuffing e abuso de Kerberos antes que se tornem um sucesso.