Windows Event Logs (EVTX)
| Artefacto | Descripción | Artículo |
|---|---|---|
| Security.evtx | 12 Event IDs: logons, Kerberos, NTLM, RDP | Leer → |
| Terminal Services | Ciclo de vida de sesiones RDP (LSM, RDPClient, RCM, RdpCoreTS) | Leer → |
| SMB | Conexiones SMB de servidor y cliente | Leer → |
| Prefetch | Evidencia de ejecución de programas en Windows | Leer → |
Linux
| Artefacto | Descripción | Artículo |
|---|---|---|
| Logs de Linux | secure, messages, audit.log, utmp, wtmp, btmp, lastlog | Leer → |
Otras fuentes
| Artefacto | Descripción | Artículo |
|---|---|---|
| Winlogbeat | Parseo de logs de Windows en formato JSON | Leer → |
| Cortex XDR | Datos de red y colecciones forenses de agentes | Leer → |