Sitemap
All pages on the site.
Início
Notas sobre logs de eventos
- Carving de registos EVTX apagados e recuperação de logs rotacionados
- Detetar movimento lateral no Security.evtx
- Limpeza de event log e as lacunas que sobrevivem
- O formato de ficheiro EVTX, descodificado
- Triagem EVTX: o que ler primeiro quando se tem uma hora e um host
- Registo do PowerShell: o que se obtém com module logging e script block logging ligados
- Configuração do Sysmon que apanha adversários reais
- Event ID 4663 explicado: auditoria de acesso a ficheiros e registo com SACLs
- Event ID 4672 explicado: detetar logons privilegiados no Windows
- Event ID 4688 explicado: auditoria de criação de processos do Windows para DFIR
- Event ID 4720 explicado: detetar criação de contas maliciosas no AD
- Event ID 4768 explicado: pedidos de TGT Kerberos e AS-REP roasting
- Event ID 4769 explicado: tickets de serviço Kerberos e kerberoasting
- Event ID 7036 explicado: mudanças de estado de serviços para triagem DFIR
- Como abrir um ficheiro .evtx (5 métodos, sem instalação)
- O que é um ficheiro .evtx? O formato do log de eventos do Windows explicado
- Como recolher logs .evtx de um sistema Windows ativo (4 métodos)
- Event ID 4625 explicado: deteção de brute force, sprays e enumeração
- Event ID 1102 explicado: log de auditoria de segurança limpo (e o que sobrevive)
- Formato do ficheiro EVTX explicado: chunks, templates e internals do BinXML
- PowerShell Event ID 4104 explicado: scriptblock logging para DFIR
- Event ID 7045 explicado: instalação de serviço como sinal de persistência
- Sysmon Event ID 1 explicado: criação de processo para triagem DFIR
- Event ID Windows 4624: decodificando cada logon bem-sucedido
- Começa aqui: o guia do analista DFIR sobre .evtx