El registro de eventos de Windows proporciona una gran cantidad de información la cual puede ayudar a un investigador a juntar las piezas relevantes sobre las acciones ocurridas en el sistema. Los eventos son recolectados y almacenados por el Servicio de Registro de Eventos. De manera similar a otros artefactos forenses, es provechoso realizar el ejercicio mental de determinar cuales preguntas pueden responder los datos del registro de eventos. Algunos de los más comunes se detallan a continuación.

¿Qué ocurrió? (Identificador del Evento, Categorías del Evento, Descripción)

Los registros de eventos pueden ser crípticos para un usuario normal, pero están diseñados para proporcionar información muy específica sobre las actividades ocurridas en el sistema. Cosas como IDs de eventos y Categorías de Eventos es de ayuda para encontrar rápidamente eventos relevantes, y la descripción del evento puede proporcionar mayor información sobre su naturaleza.

¿Cual fue el día y la hora? (Marcas de Tiempo)

Las marcas de tiempo son una parte clave de los registros de eventos, pues proporcionan un contexto temporal para los eventos. Con sistemas registrando miles de eventos, las marcas de tiempo pueden también ayudar al investigador a acercar su enfoque.

¿Quienes son los usuarios involucrados? (Cuenta de Usuario, Descripción)

Cualquier cosa hecha dentro de Windows es realizado dentro del contexto de una cuenta. Se puede identificar referencias hacia usuarios específicos, como también a información sobre las actividades del sistema operativo Windows realizadas mediante una cuenta especial como System o NetworkService.

¿Cuales son los sistemas involucrados? (Nombre del Host, Dirección IP)

En un entorno de red, es muy común encontrar referencias hacia otros sistemas aparte del host, como recursos siendo accedidos remotamente. Originalmente sólo el nombre Netbios era registrado, haciendo el rastreo y la atribución mucho más difícil. En sistemas más recientes, la dirección IP es registrada dentro del registro de eventos (Cuando aplica).

¿Cuales recursos se accedieron? (Archivos, Carpetas, Impresoras, Servicios)

El Servicio de Registro de Eventos puede ser configurado para almacenar información muy granular relacionada a la utilización de varios objetos del sistema. Con casi todos los recursos considerados como un objeto, esto proporciona una muy poderosa auditoría. Como un ejemplo; puede ayudar a identificar intentos de acceso no autorizado hacia los archivos del sistema.

Fuentes:

https://msdn.microsoft.com/en-us/library/windows/desktop/aa385780(v=vs.85).aspx
https://technet.microsoft.com/en-us/library/cc722404(v=ws.11).aspx
https://msdn.microsoft.com/en-us/library/windows/desktop/aa385772(v=vs.85).aspx