Análise Crítica de Event IDs: Transformando Logs do Windows em Inteligência de Ameaças.

Monitorar um ambiente sem entender seus logs é como navegar no escuro durante uma tempestade. No dia a dia de Red Teamers e analistas de…

sarkis093

~3 min read · March 12, 2026 (Updated: March 12, 2026) · Free: Yes

Monitorar um ambiente sem entender seus logs é como navegar no escuro durante uma tempestade. No dia a dia de Red Teamers e analistas de segurança, a diferença entre detectar uma persistência ou ser completamente ignorado reside na capacidade de interpretar os rastros digitais deixados pelo sistema operacional.

Abaixo, apresento um guia técnico essencial sobre os Event IDs que você deve manter no seu radar para identificar desde movimentações laterais até tentativas de ocultação de evidências.

Registros do Sistema: A Saúde da Operação

Estes eventos fornecem o contexto operacional. Sem eles, você não sabe se uma reinicialização foi um erro técnico ou um invasor forçando a aplicação de um patch malicioso.

ID 1074 (System Shutdown/Restart): Indica quando e por que o sistema foi desligado. Essencial para identificar reinicializações inesperadas que podem ocultar a instalação de malware.
ID 6005 (Event Log Service Started): Marca a inicialização do serviço de logs. É o seu ponto de partida para investigar o desempenho e incidentes logo após o boot.
ID 6006 (Event Log Service Stopped): Registrado no desligamento. Se ocorrer fora de uma janela de manutenção, pode indicar uma interrupção intencional para cobrir atividades ilícitas.
ID 6013 (Windows Uptime): Ocorre diariamente. Um tempo de atividade menor que o esperado é um sinal claro de que o sistema foi reiniciado sem autorização.
ID 7040 (Service Status Change): Alerta sobre mudanças no tipo de inicialização de serviços (ex: de manual para automático). Alterações em serviços críticos são sinais clássicos de violação.

Registros de Segurança: Onde o Invasor se Esconde

Aqui é onde a maioria das táticas de persistência e escalonamento de privilégios são reveladas.

ID 1102 (The Audit Log was Cleared): Um dos maiores alertas vermelhos. Limpar logs é a assinatura de quem tenta apagar evidências de intrusão.
ID 4624 & 4625 (Logon Success/Failure): O 4624 ajuda a estabelecer o comportamento normal do usuário, enquanto o 4625 pode denunciar ataques de força bruta em andamento.
ID 4648 (Logon with Explicit Credentials): Disparado quando credenciais explícitas são usadas para executar programas. Fique atento: este é um indicador comum de movimentação lateral.
ID 4672 (Special Privileges Assigned): Registra logons com privilégios de superusuário. O monitoramento rigoroso aqui evita o abuso de contas administrativas.
ID 4719 (System Audit Policy Changed): Indica tentativas de desativar a auditoria para cegar a equipe de segurança.
ID 4738 (User Account Changed): Mudanças inesperadas em privilégios ou grupos podem sinalizar um takeover de conta.
ID 5140, 5142 & 5145 (Network Share Access): Monitoram a criação e o acesso a compartilhamentos de rede, fundamentais para detectar exfiltração de dados ou mapeamento de rede por malware.
ID 7045 (Service Installed): A instalação de serviços desconhecidos é uma técnica frequente para garantir persistência de malwares no sistema.

Foco em Persistência: Tarefas Agendadas

As tarefas agendadas são um dos vetores favoritos para manter acesso permanente. De acordo com os procedimentos de investigação do SOC, você deve cruzar os seguintes dados:

ID 4698 (Created): Quando uma nova tarefa é gerada. Invasores usam isso para execução recorrente de código.
ID 4699 (Deleted): Indica que uma tarefa foi removida.
ID 4700 & 4701 (Enabled/Disabled): Monitoram a ativação ou desativação de tarefas existentes.
ID 4702 (Updated): Registra atualizações em tarefas já configuradas. Se uma tarefa legítima for alterada, verifique imediatamente os novos parâmetros e instruções configurados.

Análise Crítica: Ao identificar esses logs, é fundamental verificar qual usuário está indicado na tarefa e quais são os parâmetros executados para validar a legitimidade da ação.

Defesa Ativa com Windows Defender

ID 1116, 1118, 1119 & 1120: Cobrem desde a detecção inicial até o sucesso ou falha da remediação de malwares pelo Defender.
ID 5001 (Real-time Protection Change): Modificações na configuração de proteção em tempo real podem indicar tentativas de desabilitar as defesas do endpoint.

O segredo de uma detecção eficiente não é apenas coletar dados, mas entender o que é "normal" no seu ambiente. Sem essa linha de base, você será inundado por falsos positivos. A correlação desses logs com ferramentas de gerenciamento centralizado é o que separa um operador médio de um especialista de elite.

Se você quer aprofundar em temas de Blue Team, como rastreamento de eventos via ETW, uso do Get-WinEvent no PowerShell ou a anatomia profunda de um log, comente abaixo qual desses tópicos mais te interessa para o próximo artigo.

Para mais insights sobre operações de Red Team e defesa ofensiva, conecte-se comigo no LinkedIn.