Códigos de evento de segurança no Windows para empresas

Logs que a PME ignora até o ransomware

O Visualizador de Eventos do Windows grava milhares de entradas diárias. Sem filtro, é ruído. Para segurança corporativa, o canal Security (e Windows Defender Operational) concentra o que importa: quem logou, de onde, com falha ou sucesso, e se alguém ganhou privilégio administrativo. PMEs sem Active Directory ainda beneficiam de revisão periódica ou encaminhamento a SIEM leve.

IDs essenciais para monitorar

• 4624 — Logon bem-sucedido. Correlacione IP, tipo (2 interativo, 10 remoto) e usuário.
• 4625 — Falha de logon. Múltiplas falhas no mesmo usuário = brute force ou senha errada em script.
• 4672 — Privilégios especiais atribuídos (admin logou). Alerta se for conta de serviço inesperada.
• 4720 / 4726 — Conta criada ou removida. Criação fora do horário comercial: investigar.
• 7045 — Serviço instalado. Malware e ferramentas RAT registram serviços novos.
• 1102 — Log de segurança limpo. Quase sempre ação maliciosa ou admin sem procedimento.

Como usar na prática sem equipe SOC 24/7

1. Habilitar auditoria de política (logon, objeto, política) via GPO em servidores e estações críticas.
2. Encaminhar eventos a coletor (Wazuh, Sentinel, Graylog) ou RMM com alertas.
3. Definir alertas: 10+ 4625 em 5 minutos, 4672 em conta não admin, 1102 em qualquer servidor.
4. Revisão semanal de 15 minutos no financeiro e no servidor de arquivos.

Resposta quando algo parece errado

Isolar estação da rede, preservar log, trocar senha de contas expostas e acionar emergências e acesso remoto. Auditoria completa: detectar e corrigir riscos.

A ITC Service configura auditoria, interpreta eventos e integra com backup imutável. Solicitar revisão de logs · proteção contra phishing.