Event ID 4104: Scriptblock logging (Microsoft-Windows-PowerShell/Operational)

O que esse Event ID realmente registra em disco, os campos EventData a ler primeiro e onde ele se encaixa em um fluxo de triagem DFIR.

Canal: Microsoft-Windows-PowerShell/Operational
Provedor: Microsoft-Windows-PowerShell%4Operational
Notas de triagem: Captures the script body after decoding and reflection — the highest-value PowerShell record on the system.

Guia detalhado

PowerShell Event ID 4104 explicado: scriptblock logging para DFIRLer a análise completa →