Thiago Teixeira
EN | PT

Windows Event Viewer

Microsoft

Console nativo do Windows para navegar nos logs de eventos locais.

Logs e SIEM Nativo do SO GUI Praticado em Lab Windows

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O Visualizador de Eventos (eventvwr.msc) é a GUI para inspecionar logs locais do Windows. Um analista CySA+ precisa dominar os canais principais:

  • Security — autenticação (4624 sucesso, 4625 falha, 4672 privilégios especiais, 4688 criação de processo).
  • System — serviços, drivers, componentes do SO.
  • Application — falhas de aplicação, erros .NET.
  • Microsoft-Windows-Sysmon/Operational — quando Sysmon está instalado, é a fonte mais rica de telemetria de endpoint.
  • Microsoft-Windows-PowerShell/Operational + ScriptBlockLogging.

XPath queries em Custom Views são essenciais: *[System[EventID=4625]].

Casos de uso

  • Triagem inicial de host Windows em incidente
  • Custom views por caso de uso (falhas de logon, instalação de serviços)
  • Correlação de Sysmon EID 1 (processo) com EID 3 (rede)

Exemplo

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4625) and TimeCreated[timediff(@SystemTime) &lt;= 86400000]]]
    </Select>
  </Query>
</QueryList>