¿Qué IDs de evento y registros de Windows consultarías primero durante la investigación de una intrusión?
Respuesta breve
El registro Security es primario: 4624 inicio de sesión correcto (con tipo de inicio), 4625 inicio fallido, 4634/4647 cierre de sesión, 4672 privilegios especiales asignados, 4720 cuenta creada, 4688 creación de procesos (con línea de comandos si está habilitada) y 4768/4769 Kerberos. Añade 7045 instalación de servicio (registro System), 4698 tarea programada creada y el registro de bloques de script de PowerShell (4104). El tipo de inicio de sesión y la auditoría de líneas de comandos son lo que hace útiles estos registros.
En una investigación, saber qué artefactos responden a qué pregunta ahorra tiempo precioso. Esta pregunta comprueba que sabes pasar rápido de «algo pasó» a los registros concretos que reconstruyen la actividad del atacante, en vez de desplazarte por los registros al azar.
Autenticación y cuentas (registro Security)
- 4624: inicio de sesión correcto. El campo Tipo de inicio de sesión es oro: tipo 3 (red), 10 (RemoteInteractive/RDP), 2 (interactivo), 5 (servicio). Los inicios RDP y los inicios de red inesperados a hosts sensibles merecen escrutinio.
- 4625: inicio de sesión fallido; agrúpalos para distinguir fuerza bruta de spray.
- 4634 / 4647: cierre de sesión; 4672: privilegios especiales asignados al inicio (sesión admin/elevada).
- 4720 / 4722 / 4728 / 4732: cuenta creada, habilitada, añadida a un grupo privilegiado: señales clásicas de persistencia y escalada de privilegios.
- 4768 / 4769: solicitudes de TGT/ticket de servicio Kerberos, útiles para la caza de Kerberoasting y Golden Ticket.
Ejecución y persistencia
- 4688: creación de procesos. Con la auditoría de líneas de comandos habilitada, captura la línea de comandos completa, esencial para atrapar PowerShell codificado y LOLBins.
- 7045 (registro System): se instaló un nuevo servicio; 4697 es el equivalente del registro Security.
- 4698: tarea programada creada.
- PowerShell 4104: el registro de bloques de script captura el contenido desofuscado; 4103 el registro de módulos añade detalle del pipeline.
Por qué importa
Los valores por defecto son limitados: muchos de estos (línea de comandos en 4688, bloques de script de PowerShell) deben habilitarse explícitamente, y Sysmon añade telemetría mucho más rica de procesos, red y CreateRemoteThread. Una buena respuesta nombra los IDs clave, explica que el tipo de inicio de sesión y la auditoría de líneas de comandos son lo que los hace accionables, y señala que una buena RI depende de configurar el registro antes del incidente.
Posibles preguntas de seguimiento
- ¿Qué te dice el campo «tipo de inicio de sesión» del 4624, y qué tipos son sospechosos?
- ¿Por qué debe habilitarse la auditoría de líneas de comandos en la creación de procesos para aprovechar al máximo el 4688?
- ¿Cómo mejora Sysmon los registros de Windows por defecto?