Event Logs

detecting-rdp-brute-force-attacks 用于分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重复的 4625 失败、4624 在失败后成功、与 NLA 相关的登录，以及源 IP 集中异常。适合用于安全审计、威胁狩猎和可重复的基于 EVTX 的调查。

analyzing-usb-device-connection-history 可帮助在 Windows 上结合注册表 hive、事件日志和 setupapi.dev.log 调查 USB 设备连接历史，适用于数字取证、内部威胁排查和事件响应。它支持时间线重建、设备关联以及可移动介质证据分析。

extracting-windows-event-logs-artifacts 可帮助你提取、解析并分析 Windows Event Logs（EVTX），用于数字取证、事件响应和威胁狩猎。它支持对登录、进程创建、服务安装、计划任务、权限变更和日志清除等事件进行结构化审查，并可结合 Chainsaw、Hayabusa 和 EvtxECmd 使用。

detecting-wmi-persistence 技能可帮助威胁狩猎和 DFIR 分析师，利用 Windows 遥测中的 Sysmon Event ID 19、20 和 21 发现 WMI 事件订阅持久化。可用来识别恶意的 EventFilter、EventConsumer 和 FilterToConsumerBinding 活动，验证发现，并区分攻击者持久化与正常的管理员自动化。

detecting-evasion-techniques-in-endpoint-logs 技能可帮助你在 Windows 终端日志中狩猎防御规避行为，包括清除日志、时间戳回溯（timestomping）、进程注入以及禁用安全工具。适用于威胁狩猎、检测工程和事件初筛，可结合 Sysmon、Windows Security 或 EDR 遥测使用。

analyzing-windows-event-logs-in-splunk skill 可帮助 SOC 分析师在 Splunk 中调查 Windows Security、System 和 Sysmon 日志，识别认证攻击、权限提升、持久化和横向移动。它适用于事件初判、检测工程和时间线分析，并提供映射好的 SPL 模式与 event ID 指引。