Grafo de Event IDs do Windows

Event IDs são identificadores numéricos que o Windows usa para classificar eventos em seus logs (Security, System, Application, etc.). Em segurança, eles são a principal fonte de telemetria para detectar tentativas de logon, criação de contas, modificação de privilégios, execução de processos, acesso a objetos sensíveis e comportamento anômalo. Sem auditoria avançada habilitada e correlação no SIEM, ataques modernos como Pass-the-Hash, Kerberoasting e DCSync ficam invisíveis. Este grafo mapeia cerca de 200 eventos críticos organizados em 7 camadas e mostra quais costumam preceder e suceder cada um.

Sim. Os Event IDs de Security (4624, 4625, 4768, 4769, 4688, etc.) são estáveis desde Windows Server 2008 R2 e seguem válidos no Server 2022/2025 e Windows 11. Foram adicionados novos eventos ao longo dos anos (4798, 5379 para PAM, eventos de WDAC), mas os do grafo continuam relevantes. Os IDs legados mostrados (formato 5xx/6xx) eram usados em Windows Server 2003 e anteriores — mantidos para fins forenses e ambientes legados.

Em ambientes corporativos: GPO em Computer Configuration › Policies › Windows Settings › Security Settings › Advanced Audit Policy Configuration. Habilite no mínimo Account Logon (Audit Credential Validation, Kerberos Authentication Service, Kerberos Service Ticket Operations), Account Management, Logon/Logoff, Object Access (com SACL nos objetos críticos), Privilege Use e Detailed Tracking. A Microsoft publica baselines pré-configurados no Security Compliance Toolkit. Sem essas configurações, eventos como 4688 (Process Creation), 4769 (TGS Request) e os de modificação de AD simplesmente não são emitidos.

Splunk: Universal Forwarder com input Windows Event Log via WinEventLog stanza, normalmente sourcetype WinEventLog:Security. Sentinel: Microsoft Monitoring Agent / Azure Monitor Agent com Data Collection Rule capturando Security log, dados aparecem em SecurityEvent ou WindowsEvent. Elastic: Winlogbeat com módulo security ou ECS-mapped events. O grafo fornece queries prontas para Splunk SPL, Sigma (universal) e KQL (Sentinel) em cada Event ID — basta selecionar um nó e copiar a query.

São templates funcionais que você pode colar diretamente no SIEM, mas ajuste antes de promover para produção: defina índices/tabelas específicos do seu ambiente, restrinja por OU/host quando aplicável, calibre thresholds (a janela "em N minutos" depende do baseline da sua organização) e adicione exclusões para serviços legítimos. Sigma rules podem ser convertidas com sigmac para o backend do seu SIEM. As janelas de tempo típicas exibidas vêm de TTPs documentadas no MITRE ATT&CK e relatórios de incidentes públicos.

Quatro cenários pré-configurados: Brute Force (T1110, sequência típica 4625 → 4740 → 4767 e 4624), Pass-the-Hash (T1550.002, 4624 type 3 com NTLM), Kerberoasting (T1558.003, 4769 com RC4_HMAC) e DCSync (T1003.006, replicação DRSGetNCChanges). Cada cenário ilumina os Event IDs envolvidos na ordem em que aparecem na timeline. Próximos cenários planejados: Golden Ticket (T1558.001), Silver Ticket (T1558.002), AS-REP Roasting (T1558.004) e LAPS abuse.

Sim. Sugestões de novos Event IDs, cenários de ataque adicionais (Golden Ticket, AS-REP Roasting, Shadow Credentials, LAPS abuse, etc.) ou ajustes nas queries de detecção são bem-vindas. Use o canal de contato da Inteligência Brasil — incluímos no próximo ciclo de atualização da ferramenta.