Posts com a tag «{tag}»: #threat-hunting

Como as ferramentas adversárias reais se movem host-a-host em ambientes Windows, e as combinações precisas de event IDs no Security.evtx que apanham PsExec, Impacket e WMIExec.

A diferença prática entre PowerShell module logging, script block logging, transcrições e buffers AMSI, e as definições GPO que realmente activam as úteis.

Uma visão opinativa do Sysmon: que IDs de evento realmente importam em IR, porque olafhartong/sysmon-modular é a baseline certa, e os erros de configuração que vos cegam para ataques reais.