Search

Search the blog.

Event ID 4663 explicado: auditoria de acesso a arquivos e registry com SACLs
4663 é o registro de auditoria por acesso a objeto. Configure SACLs nos arquivos e chaves certos e você ganha um log de quem tocou o quê — ransomware, exfil, roubo de credenciais.
Event ID 4672 explicado: detectando logons privilegiados no Windows
4672 dispara quando um logon recebe privilégios sensíveis como SeDebugPrivilege ou SeTcbPrivilege. Leia como o sinal 'este logon é admin-equivalente' e o resto da auditoria se encaixa.
Event ID 4688 explicado: auditoria de criação de processos do Windows para DFIR
4688 é o registro base do SO para criação de processo — desde que command-line auditing esteja ligado. Eis o que ele contém, como difere do Sysmon 1, e os padrões de triagem que ganham o pão.
Event ID 4720 explicado: detectando criação de conta maliciosa no AD
4720 dispara toda vez que uma conta de usuário é criada — localmente ou no AD. Leia-o com 4722/4724/4732 e você identifica contas de persistência e movimento lateral em minutos.
Event ID 4768 explicado: requisições de TGT Kerberos e AS-REP roasting
4768 é o registro do DC de cada TGT emitido. Leia-o pelo result code e pelo flag de pre-auth e você identifica AS-REP roasting, brute force e abuso de unconstrained delegation.
Event ID 4769 explicado: service tickets Kerberos e kerberoasting
4769 é o registro do DC de cada requisição de service ticket. Leia-o pelo encryption type e você identifica kerberoasting; leia-o com 4768 e você identifica pass-the-ticket.
Event ID 7036 explicado: mudanças de estado de serviço para triagem DFIR
7036 dispara toda vez que um serviço inicia ou para. Combinado com 7045 confirma se a persistência de fato rodou — e sozinho revela abuso de serviço, defense evasion e anomalias de boot.
Como abrir um arquivo .evtx (5 métodos, sem instalação obrigatória)
Cinco formas de abrir um arquivo .evtx do Windows — no navegador, no Event Viewer, com wevtutil, com EvtxECmd ou com python-evtx. Escolha pelo SO do host e pela fricção que você aguenta.
O que é um arquivo .evtx? O formato Windows Event Log explicado
Um arquivo .evtx é um Windows Event Log binário. Onde ficam, o que tem dentro, em que diferem dos .evt e como abri-los — sem instalar nada.
Como coletar logs .evtx de um sistema Windows ativo (4 métodos)
Quatro formas de extrair .evtx de um host Windows ativo — wevtutil, FTK Imager, KAPE, leitura NTFS bruta — com os trade-offs de cadeia de custódia de cada uma e os comandos que você de fato vai rodar.
Event ID 4625 explicado: detectando brute force, sprays e enumeração
4625 é o registro de falha de logon. Lido corretamente, você identifica password sprays, credential stuffing e abuso de Kerberos antes que tenham sucesso.
Event ID 1102 explicado: log de auditoria de segurança limpo (e o que sobrevive)
1102 é o único evento que você não consegue suprimir sem deixar mais evidência. Eis o que ele te diz e o que sobrevive à limpeza.
Formato de arquivo EVTX explicado: chunks, templates e internals de BinXML
Como um arquivo .evtx é organizado em nível de byte — file header, chunks de 64 KB, a tabela de templates e o stream de registros BinXML que a referencia.
PowerShell Event ID 4104 explicado: scriptblock logging para DFIR
Scriptblock logging é o controle defensivo gratuito mais útil do Windows. Ele registra o corpo completo de todo script — incluindo ofuscados ou em memória — sob o event 4104.
Event ID 7045 explicado: instalação de serviço como sinal de persistência
Criação de serviço é uma das técnicas de persistência mais barulhentas. O event 7045 captura cada install — leia esses três campos e você pega a maior parte.
Sysmon Event ID 1 explicado: criação de processo para triagem DFIR
O event 1 do Sysmon é o registro mais rico de criação de processo que o Windows consegue produzir. Eis o que ele contém e como triá-lo rápido.
Event ID Windows 4624: decodificando cada logon bem-sucedido
O que um registro 4624 realmente contém, por que o campo LogonType importa mais que o próprio evento, e como lê-los em escala.
Lendo o formato binário do log de eventos do Windows
Uma introdução curta sobre como arquivos .evtx são organizados, o que cada evento contém e por que esse formato binário importa em forense.

Search

Event ID 4663 explicado: auditoria de acesso a arquivos e registry com SACLs

Event ID 4672 explicado: detectando logons privilegiados no Windows

Event ID 4688 explicado: auditoria de criação de processos do Windows para DFIR

Event ID 4720 explicado: detectando criação de conta maliciosa no AD

Event ID 4768 explicado: requisições de TGT Kerberos e AS-REP roasting

Event ID 4769 explicado: service tickets Kerberos e kerberoasting

Event ID 7036 explicado: mudanças de estado de serviço para triagem DFIR

Como abrir um arquivo .evtx (5 métodos, sem instalação obrigatória)

O que é um arquivo .evtx? O formato Windows Event Log explicado

Como coletar logs .evtx de um sistema Windows ativo (4 métodos)

Event ID 4625 explicado: detectando brute force, sprays e enumeração

Event ID 1102 explicado: log de auditoria de segurança limpo (e o que sobrevive)

Formato de arquivo EVTX explicado: chunks, templates e internals de BinXML

PowerShell Event ID 4104 explicado: scriptblock logging para DFIR

Event ID 7045 explicado: instalação de serviço como sinal de persistência

Sysmon Event ID 1 explicado: criação de processo para triagem DFIR

Event ID Windows 4624: decodificando cada logon bem-sucedido

Lendo o formato binário do log de eventos do Windows