L’intenzione \u00e8 quella di fare una lista di eventi importanti. Ci sono molti siti che elencano gli eventID, ma non sempre sono spiegati chiaramente per i non addetti ai lavori. La lista non \u00e8 in ordine di importanza. <\/p>\n\n\n\n
4625 – Accesso Negato – Guarda il tipo per maggiori info<\/strong> oppure guarda qui https:\/\/docs.microsoft.com\/it-it\/windows\/security\/threat-protection\/auditing\/event-4625<\/p>\n\n\n\n 4625 tipo 2 – Modo intereattivo via console<\/p>\n\n\n\n 4625 tipo 3 – Via rete (NLA)<\/p>\n\n\n\n 4625 tipo 5 – Un servizio ha tentato di startare con credenziali errate<\/p>\n\n\n\n 4625 tipo 7 – La macchina era in lock (windows+L) ma la password inserita \u00e8 sbagliata<\/p>\n\n\n\n 4625 tipo 10 – RDP o TS<\/p>\n\n\n\n 4624 – Accesso consentito – Guarda il tipo per maggiori info<\/strong> oppure guarda qui https:\/\/docs.microsoft.com\/it-it\/windows\/security\/threat-protection\/auditing\/event-4624 – Nota che se il campo ‘Elevated Token’ \u00e8 uguale a 1 significa che \u00e8 entrato un account con privilegi amministrativi<\/em><\/p>\n\n\n\n 4624 tipo 2 – Modo intereattivo via console<\/p>\n\n\n\n 4624 tipo 3 – Via rete (NLA)<\/p>\n\n\n\n 4624 tipo 5 – Un servizio con credenziali corrette \u00e8 partito<\/p>\n\n\n\n 4624 tipo 7 – La macchina era in lock (windows+L) ed \u00e8 stata sbloccata<\/p>\n\n\n\n 4624 tipo 10 – Accesso RDP o TS<\/p>\n<\/div><\/div>\n<\/div><\/div>\n\n\n\n 4720<\/strong> – Creazione di un nuovo utente<\/p>\n\n\n\n 4649<\/strong> – Questo evento indica che \u00e8 stato rilevato un attacco di riesecuzione Kerberos: una richiesta \u00e8 stata ricevuta due volte con informazioni identiche. Questa condizione potrebbe essere causata da una configurazione errata della rete. Questo evento pu\u00f2 essere un segno di un attacco di riesecuzione Kerberos o, tra l’altro, problemi di configurazione dei dispositivi di rete o di routing. In entrambi i casi, \u00e8 consigliabile attivare un avviso e analizzare il motivo per cui l’evento \u00e8 stato generato<\/p>\n\n\n\n 5148<\/strong> – La Windows Filtering Platform ha rilevato un attacco DoS ed \u00e8 entrata in modalit\u00e0 difensiva. i pacchetti associati a questo attacco verranno eliminati. (evento raro) Questo evento pu\u00f2 essere un segno di un attacco DoS ICMP o, tra l’altro, problemi correlati all’hardware o ai dispositivi di rete. In entrambi i casi, \u00e8 consigliabile attivare un avviso e analizzare il motivo per cui l’evento \u00e8 stato generato.<\/p>\n\n\n\n 1102 <\/strong>– L’audit log \u00e8 stato cancellato<\/p>\n\n\n\n 4621 <\/strong>– Sistema ripristinato dall’amministratore da CrashOnAuditFail. Gli utenti che non sono amministratori potranno accedere. \u00c8 possibile che alcune attivit\u00e0 controllabili non siano state registrate.<\/p>\n\n\n\n 4794 <\/strong>– tentativo di impostare la password di amministratore della modalit\u00e0 ripristino servizi directory<\/p>\n\n\n\n Microsoft<\/strong> ha pubblicato una lista di event id ordinata per criticit\u00e0 a questo link: https:\/\/docs.microsoft.com\/it-it\/windows-server\/identity\/ad-ds\/plan\/appendix-l–events-to-monitor<\/p>\n","protected":false},"excerpt":{"rendered":" L’intenzione \u00e8 quella di fare una lista di eventi importanti. Ci sono molti siti che elencano gli eventID, ma non sempre sono spiegati chiaramente per i non addetti ai lavori. La lista non \u00e8 in ordine di importanza. 4625 – Accesso Negato – Guarda il tipo per maggiori info oppure guarda qui https:\/\/docs.microsoft.com\/it-it\/windows\/security\/threat-protection\/auditing\/event-4625 4625 tipo … <\/p>\n