105 casos de uso SIEM/Windows

●​ Intentos Fallidos de Inicio de Sesión - ID de evento: 4625

●​ Bloqueo de cuentas - ID de evento: 4740
●​ Inicio de sesión con éxito fuera del horario laboral - ID de evento: 4624
●​ Creación de nuevo usuario - ID de evento: 4720
●​ Uso de Cuenta Privilegiada - ID de evento: 4672
●​ Cambios de cuenta de usuario - ID de evento: 4722, 4723, 4724, 4725, 4726
●​ Inicio de sesión desde ubicaciones inusuales - ID de evento: 4624 (con análisis de geolocalización)
●​ Cambios de contraseña - ID de evento: 4723 (intento de cambio), 4724 (restablecimiento correcto)
●​ Cambios en la pertenencia a grupos - ID de evento: 4727, 4731, 4735, 4737
●​ Patrones de inicio de sesión sospechosos - ID de evento: 4624 (inicios de sesión anómalos)
●​ Fallos excesivos de inicio de sesión - ID de evento: 4625
●​ Actividad de cuenta desactivada - ID de evento: 4725
●​ Uso de cuentas inactivas - ID de evento: 4624 (cuentas poco utilizadas)
●​ Actividad de la cuenta de servicio - ID de evento: 4624, 4672
●​ Monitorización de Acceso RDP - ID de Evento: 4624 (con filtrado específico RDP)
●​ Detección de Movimiento Lateral - ID de evento: 4648 (inicios de sesión de red)
●​ Acceso a archivos y carpetas - ID de evento: 4663
●​ Compartición no autorizada de archivos - ID de evento: 5140, 5145
●​ Cambios en el Registro - ID de evento: 4657
●​ Instalación y eliminación de aplicaciones - ID de evento: 11707, 1033
●​ Uso de Dispositivo USB - ID de evento: 20001, 20003 (de los registros de Administración de Dispositivos)
●​ Cambios en el Firewall de Windows - ID de evento: 4946, 4947, 4950, 4951
●​ Creación de Tarea Programada - ID de evento: 4698
●​ Monitorización de Ejecución de Procesos - ID de Evento: 4688
●​ Reinicio o apagado del sistema - ID de evento: 6005, 6006, 1074
●​ Borrado del registro de sucesos - ID de evento: 1102
●​ Ejecución de Malware o Indicadores - ID de evento: 4688, 1116 (de Windows Defender)
●​ Cambios en Active Directory - ID de evento: 5136, 5141
●​ Borrado de Shadow Copy - ID de evento: 524 (con registros de VSSAdmin)
●​ Cambios en la configuración de red - ID de evento: 4254, 4255, 10400
●​ Ejecución de Scripts Sospechosos - ID de evento: 4688 (creación de proceso con intérprete de script)
●​ Instalación o modificación del servicio - ID de evento: 4697
●​ Borrado de Registros de Auditoría - ID de evento: 1102
●​ Violación de la Política de Restricción de Software - ID de evento: 865
●​ Enumeración excesiva de cuentas - ID de evento: 4625, 4776
●​ Intento de Acceso a Archivos Sensibles - ID de evento: 4663
●​ Inyección de Proceso Inusual - ID de Evento: 4688 (con datos EDR o Sysmon)
●​ Instalación del Controlador - ID de Evento: 7045 (Administrador de Control de Servicio)
●​ Modificación de Tareas Programadas - ID de evento: 4699
●​ Cambios GPO No Autorizados - ID de evento: 5136
●​ Actividad sospechosa de PowerShell - ID de evento: 4104 (de los registros de PowerShell)
●​ Conexiones de Red Inusuales - ID de evento: 5156 (plataforma de filtrado de red)
●​ Acceso no autorizado a archivos compartidos - ID de evento: 5145
●​ Consulta DNS para Dominios Maliciosos - ID de evento: 5158 (se requieren registros DNS)
●​ Abuso de búsqueda LDAP - ID de evento: 4662
●​ Supervisión de la finalización de procesos - ID de evento: 4689
●​ Intentos Fallidos de Iniciar un Servicio - ID de evento: 7041
●​ Cambios en la política de auditoría - ID de evento: 4719, 1102
●​ Monitorización de Cambio de Hora - ID de evento: 4616, 520
●​ Cambios de Clave de Cifrado BitLocker - ID de evento: 5379
●​ Detecciones de amenazas de Windows Defender - ID de evento: 1116
●​ Monitoreo de Sesión SMB - ID de Evento: 5140
●​ Notificación de expiración de cuenta - ID de evento: 4725
●​ Intentos de Eliminación de Archivos Bloqueados - ID de evento: 4660
●​ Uso Anormal de CPU por Proceso - ID de evento: 4688 (con herramientas de monitorización adicionales)
●​ Eliminación de Grupo de Seguridad - ID de evento: 4730
●​ Intentos de Escalada de Privilegios del Sistema - ID de evento: 4673
●​ Cambios en la delegación de cuentas - ID de evento: 4765
●​ Cambios en la configuración de la impresora - ID de evento: 307, 805
●​ Cambios en la Configuración de la Dirección IP - ID de evento: 4200, 4201
●​ Cambios en los Permisos de Compartir en Red - ID de evento: 5141
●​ Acceso a dispositivos extraíbles - ID de evento: 20001, 20003
●​ Actividad WMI Inusual - ID de evento: 4688 (con filtros WMI)
●​ Reglas de Firewall Eliminadas - ID de evento: 4946, 4947
●​ Acceso Sospechoso a Objeto COM - ID de evento: 4688 (Sysmon ID de evento 10)
●​ Cambios en el Registro Autoruns - ID de evento: 4657
●​ Parámetros de Inicio de Servicio Inusuales - ID de evento: 4697
●​ Uso no autorizado de software - ID de evento: 4688, 1033
●​ Montaje de Unidad Compartida por Host Remoto - ID de evento: 5140
●​ Acceso no autorizado a Admin Shares - ID de evento: 5145
●​ Uso Anormal de Cuenta de Administrador Integrada - ID de evento: 4624
●​ Modificación de Archivos de Sistema - ID de evento: 4663
●​ Cambios en Servicios Críticos de Windows - ID de evento: 7040
●​ Intento Fallido de Modificar Objeto de Directiva de Grupo - ID de evento: 5136
●​ Actividad de Cuenta Sospechosa en Controlador de Dominio - ID de evento: 4624, 4672
●​ Abuso de Privilegios de Depuración - ID de evento: 4673
●​ Detección de Escaneo de Puertos de Firewall - ID de evento: 5156, 5157
●​ Terminación de Sesión RDP No Autorizada - ID de evento: 4634
●​ Filtración de datos a través de dispositivos USB - ID de evento: 20001, 20004
●​ Borrado masivo de archivos - ID de evento: 4660
●​ Ejecución de Binario Sospechoso - ID de evento: 4688
●​ Cambios en la configuración de la sincronización horaria - ID de evento: 4616
●​ Actividad Inusual de Desbloqueo de Cuenta - ID de evento: 4767
●​ Actividad Sospechosa de Codificación PowerShell - ID de evento: 4104
●​ Desactivado Registros de Auditoría - ID de evento: 4719
●​ Cambios de Permisos de Archivos Sensibles - ID de evento: 4670
●​ Abuso de la concesión de tickets Kerberos - ID de evento: 4768
●​ Detección de Dirección IP Duplicada - ID de evento: 4199, 4198
●​ Eliminación de cuenta sospechosa - ID de evento: 4726
●​ Cambios en las subcategorías de la política de auditoría - ID de evento: 4715
●​ Borrado de afiliaciones a grupos de seguridad - ID de evento: 4735
●​ Validación de Certificado Fallida - ID de Evento: 4797
●​ Actualizaciones de controladores no autorizadas - ID de evento: 7045, 20001
●​ Explotación del Programador de Tareas de Windows - ID de evento: 4698
●​ Uso No Autorizado de Shells Remotos - ID de evento: 4104
●​ Instalación inesperada del dispositivo - ID de evento: 20003, 7045
●​ Sospechosa Escalada de Privilegios de Token - ID de evento: 4673
●​ Uso indebido de la autenticación NTLM - ID de evento: 4776, 4624
●​ Cambios Sospechosos en las Claves del Registro - ID de evento: 4657
●​ Detección de Ataques con Billetes Dorados - ID de evento: 4769, 4770
●​ Intentos Excesivos de Bloqueo en una Única Cuenta - ID de evento: 4740
●​ Actividad Inusual de Copia de Archivos - ID de evento: 4663
●​ Cambios en las Políticas de Red - ID de evento: 4907
●​ Argumentos de Línea de Comandos de Proceso Sospechoso - ID de evento: 4688
●​ Intentos No Autorizados de Descifrado de Archivos - ID de evento: 4672