事件日志笔记
在启用命令行审计的前提下,4688 是基础操作系统的进程创建记录。本文讲清它里面是什么、与 Sysmon 1 的区别,以及物有所值的分诊模式。
4720 在每次创建用户账户时触发,本地账户或域账户都会。把它和 4722、4724、4732 一起读,几分钟就能抓到持久化与横向移动账户。
4768 是 DC 对每一张发放出去的 TGT 的记录。通过结果码与预认证标志去读它,就能发现 AS-REP roasting、暴力破解,以及对非约束委派的滥用。
4769 是 DC 对每一次服务票据请求的记录。按加密类型来读,可以发现 kerberoasting;与 4768 配在一起读,可以发现 pass-the-ticket。
7036 在服务每次启动或停止时触发。与 7045 配对,它确认持久化是否真的跑起来了。单独来看,也能揭示服务滥用、防御规避与启动期异常。
打开 Windows .evtx 文件的五种方式:在浏览器里、用 Event Viewer、用 wevtutil、用 EvtxECmd,或用 python-evtx。按主机系统与你能忍受的摩擦程度选。
.evtx 文件是二进制的 Windows 事件日志。它们存放在哪里、里面是什么、与 .evt 有何不同,以及如何打开。无需安装。
从一台运行中的 Windows 主机取出 .evtx 的四种方式:wevtutil、FTK Imager、KAPE 与原始 NTFS。附上每种方式的证据链取舍以及你实际会运行的命令。
4625 是登录失败记录。读得对,你能在它演变为成功之前发现密码喷洒、撞库和 Kerberos 滥用。