Windows Event Logs: читаем следы атаки
Этот модуль научит тебя видеть, что происходило в системе на самом деле.
Мы разберём журналы событий Windows, Sysmon и ETW — и научимся находить подозрительную активность, как это делают специалисты по расследованиям.
Ты перестанешь «гадать» и начнёшь опираться на реальные артефакты системы.
Что внутри модуля
Любая атака оставляет следы.
Вопрос только в том, умеешь ли ты их видеть.
Windows постоянно записывает всё, что происходит в системе: запуск процессов, создание служб, сетевые подключения, ошибки, изменения конфигурации. Эти данные хранятся в журналах событий (Event Logs). Проблема в том, что без понимания структуры они выглядят как бесконечный шум.
В этом модуле ты научишься превращать этот шум в понятную картину происходящего.
Мы разберём, как устроены журналы Windows, какую роль играет Sysmon в обнаружении подозрительной активности, и почему ETW — это мощный, но недооценённый источник телеметрии. Ты научишься работать с событиями через PowerShell и фильтровать именно то, что важно.
Этот модуль помогает понять две ключевые вещи:
что видит защитная команда после действий злоумышленника — и какие следы оставляешь ты сам во время пентеста.
👥 Кому будет полезен модуль
– Пентестерам
– Bug bounty-хантерам
– Специалистам по ИБ и SOC
– Разработчикам, работающим с Windows-инфраструктурой
Оценка и отзывы
Готов прокачаться ещё сильнее?
Выбери следующий модуль или путь — и продолжай серию побед.