Skip to content

¿Qué IDs de evento y registros de Windows consultarías primero durante la investigación de una intrusión?

Respuesta breve

El registro Security es primario: 4624 inicio de sesión correcto (con tipo de inicio), 4625 inicio fallido, 4634/4647 cierre de sesión, 4672 privilegios especiales asignados, 4720 cuenta creada, 4688 creación de procesos (con línea de comandos si está habilitada) y 4768/4769 Kerberos. Añade 7045 instalación de servicio (registro System), 4698 tarea programada creada y el registro de bloques de script de PowerShell (4104). El tipo de inicio de sesión y la auditoría de líneas de comandos son lo que hace útiles estos registros.

En una investigación, saber qué artefactos responden a qué pregunta ahorra tiempo precioso. Esta pregunta comprueba que sabes pasar rápido de «algo pasó» a los registros concretos que reconstruyen la actividad del atacante, en vez de desplazarte por los registros al azar.

Autenticación y cuentas (registro Security)

  • 4624: inicio de sesión correcto. El campo Tipo de inicio de sesión es oro: tipo 3 (red), 10 (RemoteInteractive/RDP), 2 (interactivo), 5 (servicio). Los inicios RDP y los inicios de red inesperados a hosts sensibles merecen escrutinio.
  • 4625: inicio de sesión fallido; agrúpalos para distinguir fuerza bruta de spray.
  • 4634 / 4647: cierre de sesión; 4672: privilegios especiales asignados al inicio (sesión admin/elevada).
  • 4720 / 4722 / 4728 / 4732: cuenta creada, habilitada, añadida a un grupo privilegiado: señales clásicas de persistencia y escalada de privilegios.
  • 4768 / 4769: solicitudes de TGT/ticket de servicio Kerberos, útiles para la caza de Kerberoasting y Golden Ticket.

Ejecución y persistencia

  • 4688: creación de procesos. Con la auditoría de líneas de comandos habilitada, captura la línea de comandos completa, esencial para atrapar PowerShell codificado y LOLBins.
  • 7045 (registro System): se instaló un nuevo servicio; 4697 es el equivalente del registro Security.
  • 4698: tarea programada creada.
  • PowerShell 4104: el registro de bloques de script captura el contenido desofuscado; 4103 el registro de módulos añade detalle del pipeline.

Por qué importa

Los valores por defecto son limitados: muchos de estos (línea de comandos en 4688, bloques de script de PowerShell) deben habilitarse explícitamente, y Sysmon añade telemetría mucho más rica de procesos, red y CreateRemoteThread. Una buena respuesta nombra los IDs clave, explica que el tipo de inicio de sesión y la auditoría de líneas de comandos son lo que los hace accionables, y señala que una buena RI depende de configurar el registro antes del incidente.

Posibles preguntas de seguimiento

  • ¿Qué te dice el campo «tipo de inicio de sesión» del 4624, y qué tipos son sospechosos?
  • ¿Por qué debe habilitarse la auditoría de líneas de comandos en la creación de procesos para aprovechar al máximo el 4688?
  • ¿Cómo mejora Sysmon los registros de Windows por defecto?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.