Explícame qué significan los event IDs de Windows 4624, 4625 y 4688 y cómo los usarías en una investigación.
Respuesta breve
4624 es un logon exitoso, 4625 es un logon fallido y 4688 es una creación de proceso. En una investigación usas 4625 para detectar ataques de credenciales, 4624 (con su tipo de logon y su origen) para confirmar un acceso exitoso y cómo ocurrió, y 4688 para ver qué se ejecutó realmente, idealmente con la auditoría de línea de comandos habilitada.
Los logs de eventos de seguridad de Windows son el pan de cada día de un analista de SOC, y estos tres IDs aparecen constantemente. Los entrevistadores preguntan esto para confirmar que sabes leer los logs de primera mano en lugar de depender por completo de una herramienta para interpretarlos.
4624 — logon exitoso
El evento 4624 registra un logon exitoso. El campo más importante es el tipo de logon, que te indica cómo se creó la sesión: tipo 2 (interactivo, en el teclado), tipo 3 (red, p. ej. acceso a un recurso compartido), tipo 10 (RemoteInteractive / RDP) y tipo 5 (servicio). También registra la cuenta de origen, la IP de origen y el paquete de autenticación. Un logon de tipo 10 desde una IP externa inesperada, por ejemplo, es una fuerte señal de compromiso por RDP.
4625 — logon fallido
El evento 4625 es un logon fallido, el caballo de batalla para detectar ataques de credenciales. Los códigos de estado/subestado explican por qué falló (contraseña incorrecta, cuenta deshabilitada, cuenta bloqueada). Muchos 4625 contra una sola cuenta sugieren fuerza bruta; unos pocos cada uno en muchas cuentas sugieren password spray.
4688 — creación de proceso
El evento 4688 registra un nuevo proceso. Aquí es donde ves qué se ejecutó. De forma crítica, con la auditoría de línea de comandos habilitada, el 4688 captura la línea de comandos completa, algo invaluable para atrapar PowerShell codificado, abusos de rundll32 o binarios living-off-the-land. Combínalo con el proceso padre para detectar cadenas sospechosas como Word lanzando cmd.exe.
Encadenarlos juntos
El verdadero poder es la correlación: una ráfaga de 4625 seguida de un 4624 desde el mismo origen significa que un ataque de credenciales tuvo éxito; seguir esa cuenta hacia los eventos 4688 muestra qué hizo el atacante a continuación.
Por qué importa
Saber leer estos eventos y sus campos clave —no solo recitar los números— le demuestra a un entrevistador que puedes investigar un host Windows de forma práctica, lo cual es el núcleo del trabajo de SOC.
Posibles preguntas de seguimiento
- ¿Qué es un tipo de logon y por qué importa el tipo 3 frente al tipo 10?
- ¿Por qué es importante la auditoría de línea de comandos para los eventos 4688?
- ¿Cómo encadenarías un 4625 y luego un 4624 para detectar una fuerza bruta exitosa?