Windows Event Logs - Análisis Forense y Detección de Amenazas

#windows #event-logs #forensics #security-auditing #threat-detection #incident-response #sigma-rules

Info

Los Windows Event Logs son una parte intrínseca del sistema operativo Windows.
Almacenan registros de componentes del sistema: aplicaciones, servicios, controladores, proveedores ETW y más.
Son esenciales en ciberseguridad para análisis forense, detección de intrusos y diagnóstico.

📘 Conceptos Básicos

Info

Windows Event Logging permite registrar errores de aplicaciones, eventos de seguridad e información de diagnóstico.
Los registros se organizan por origen/purpose en logs principales:

🧩 Application — Registros generados por aplicaciones instaladas (errores, avisos y eventos específicos de la app).
⚙️ System — Eventos del propio sistema operativo y controladores (arranques, fallos de servicios y errores de hardware).
🔐 Security — Eventos de auditoría de seguridad (inicios de sesión, intentos fallidos, cambios en permisos y auditorías).
🧰 Setup — Registros relacionados con la instalación y configuración del sistema (actualizaciones, instalación de roles/feature).
🌐 Forwarded Events — Eventos reenviados desde otros equipos hacia este servidor para centralizar el logging (útil en arquitecturas con agentes/colección central).

Tip

Puedes acceder a los logs con:

🪟 Event Viewer (Visor de eventos) — GUI
💻 Windows Event Log API — programático
Además, Event Viewer puede abrir archivos .evtx guardados en Saved Logs.

🧩 Anatomía de un Evento

Info

Cada entrada (evento) contiene campos clave que facilitan la investigación:

Campo	Descripción
Log Name	Nombre del registro (Application, System, Security…)
Source	Software que generó el evento
Event ID	Identificador único
Task Category	Categoría o propósito agregado
Level	Severidad (Information, Warning, Error, Critical, Verbose)
Keywords	Etiquetas como Audit Success / Audit Failure
User	Usuario que estaba activo
OpCode	Operación concreta reportada
Logged	Fecha y hora del evento
Computer	Nombre del equipo
XML Data	Representación completa y estructurada del evento

Tip

Keywords es muy útil para crear filtros precisos y mejorar el rendimiento de búsqueda.

🔍 Ejemplo práctico: Event ID 4624 (Successful Logon)

Example

Pasted image 20251013182627.png
Event ID 4624 indica la creación de una sesión de inicio de sesión en la máquina destino.
Campos relevantes:

🔑 Logon ID → correlaciona eventos de la misma sesión.
🧍 Logon Type → tipo de inicio de sesión (interactivo, remoto, servicio, etc.).
🖧 Source Network Address / Workstation → origen del logon.

Info

Ejemplo: Logon Type 5 → inicio de sesión de Service (habitualmente por SYSTEM), útil para investigar qué servicio creó la sesión.

⚙️ Filtrado avanzado con consultas XML

Tip

En Event Viewer: Filter Current Log → XML → Edit Query Manually.
Las consultas XML permiten correlacionar por campos como Logon ID, EventID, Account Name, etc.

Ejemplo — filtrar por SubjectLogonId = 0x3E7:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[EventData[Data[@Name='SubjectLogonId']='0x3E7']]
    </Select>
  </Query>
</QueryList>

Tip

Si no dominas XML, usa el filtrado automático en la GUI para generar una consulta y luego revisa la sección XML.

🧭 Caso de análisis (flujo típico observado)

👀 Evento inicial (p. ej. cambio de auditoría) — Event ID 4907 (Audit policy change).
🧰 Proceso que cambia SACL (System ACL) — revisar ProcessName y ObjectName.
🔑 Logon (4624) y luego 4672 (Special Logon) — indica privilegios elevados (p. ej. SeDebugPrivilege).
🧾 Correlacionar por Logon ID para reconstruir la historia.

Info

Ejemplo observado: SetupHost.exe modificando permisos sobre bootmanager (revisar NewSd / OldSd y ProcessId).

🔎 Eventos Windows útiles (lista práctica — no exhaustiva)

🖥️ System (sistema)

1074 — Shutdown/Restart (quién y por qué)
6005 — Event log service started (inicio del servicio de eventos)
6006 — Event log service stopped
6013 — Windows uptime (información diaria)
7040 — Service startup type changed

🔐 Security (seguridad)

1102 — Audit log cleared (posible intento de borrar evidencia)
1116 / 1118 / 1119 / 1120 — Eventos de antivirus/Defender (detección y remediación)
4624 — Successful Logon
4625 — Failed Logon
4648 — Logon with explicit credentials
4656 — Handle to object requested
4672 — Special privileges assigned (elevación / cuentas con privilegios)
4698 / 4700 / 4701 / 4702 — Scheduled tasks (creación/enable/disable/update) — clave para persistencia
4719 — System audit policy changed
4738 — User account changed
4771 / 4776 — Kerberos / domain credential validation
5001 — Antivirus real-time protection changed
5140 / 5142 / 5145 — Network share accessed/added/checked
5157 — WFP blocked a connection (Windows Filtering Platform)
7045 — Service installed (sospechoso si es inesperado)

Tip

Ajusta alertas basadas en lo “normal” de tu entorno para reducir falsos positivos.

Ejercicio Pra´tico

Info

🎯 Objetivo: Analizar eventos del Visor de Eventos de Windows relacionados con inicios de sesión y modificaciones en la configuración de auditoría.
El ejercicio forma parte del laboratorio ACADEMIA-SFUND-WIN10.

💻 Conexión RDP

Ejecuta la siguiente conexión para acceder al sistema objetivo:

xfreerdp /v:10.129.205.123 /u:Administrator /p:'HTB_@cad3my_lab_W1n10_r00t!@0' /dynamic-resolution /cert:ignore

👤 Usuario: Administrator
🔑 Contraseña: HTB_@cad3my_lab_W1n10_r00t!@0

🔰 PASO 1: Localizar el Evento de Inicio de Sesión

Tip

Usa el Visor de eventos → Windows Logs → Security
Filtra por Event ID = 4624 y busca el registro correspondiente a la hora indicada.
{134D1844-D270-40F4-84D4-025C4A9AC282}.png

Campo	Valor
Event ID	4624
Fecha	08/03/2022 10:23:25
Tipo	Logon exitoso
Logon ID	`0x3e7`
📸 Ejemplo visual del filtro aplicado:

🔍 PASO 2: Correlacionar con Cambios de Auditoría

Una vez identificado el Logon ID, filtra los eventos del tipo 4907 (modificación de política de auditoría) que coincidan con dicho ID.
📜 Consulta XML:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4907)]]
      and
      *[EventData[Data[@Name='SubjectLogonId']='0x3e7']]
    </Select>
  </Query>
</QueryList>

💡 Esto mostrará todos los eventos relacionados con cambios en la SACL (lista de control de auditoría del sistema) iniciados por la sesión con Logon ID 0x3e7.

En el evento filtrado, revisa los campos clave:

Campo	Valor
Event ID	4907
ProcessName	`TiWorker.exe`
ObjectName	Archivo del sistema
Cambio detectado	Modificación en la SACL (reglas de auditoría)

📘 Conclusión:
El proceso responsable de modificar la configuración de auditoría fue:

🧩 TiWorker.exe

🧠 PASO 4: Verificar Modificación Específica de una DLL

Info

Crea una consulta XML personalizada para comprobar si TiWorker.exe realizó cambios en la DLL:
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\wpfgfx_v0400.dll

📜 Consulta XML:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4907)]]
      and
      *[EventData[Data[@Name='ObjectName'] and 
        (Data='C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\wpfgfx_v0400.dll')]]
    </Select>
  </Query>
</QueryList>

🕒 Respuesta esperada:
Indica la hora exacta (HH:MM:SS) en la que el evento fue registrado.
(Por ejemplo: 10:23:05 — verificar directamente en el visor).
{F5AE3ADF-82ED-4A25-94FB-1296958E4A6C}.png

📚 Recursos y Referencias

Cite

Documentación oficial:

🔗 Microsoft Learn – Windows Event Logs
🔗 Microsoft Docs – Security Auditing Events
🔗 Microsoft – Event 4624: An account was successfully logged on
🔗 Microsoft – Understanding SDDL Syntax
🔗 Microsoft – Access Control Lists (ACLs) and SACLs