Consulte rapidamente os eventos mais importantes do Visualizador de Eventos do Windows
Lista dos eventos de segurança mais relevantes para monitoramento
Indica que um usuário conseguiu se autenticar com sucesso.
Verifique o tipo de logon (interativo, remoto, rede) e o nome da conta.
Logins fora do horário normal ou com contas administrativas merecem atenção especial.
Gerado quando há falha na autenticação (senha incorreta, conta inexistente, etc.).
Múltiplos eventos em sequência podem indicar ataque de força bruta.
Ocorre quando um processo usa credenciais diferentes das do usuário logado.
Comum em ataques pass-the-hash ou uso de ferramentas administrativas remotas.
Registra quando um login é feito com privilégios administrativos.
Essencial para detectar elevação de privilégio ou uso indevido de contas elevadas.
Indica que um processo foi iniciado no sistema.
Permite identificar execuções inesperadas de scripts ou programas suspeitos.
Indica a criação de um novo serviço.
Pode ser legítimo (nova impressora) ou suspeito (persistência de malware via serviço oculto).
Principais tipos de eventos agrupados por categoria
Autenticação bem-sucedida. Verifique tipo de logon e conta.
Tentativas malsucedidas podem indicar força bruta.
Comum em ataques pass-the-hash.
Detecta uso de contas elevadas.