Programas / Respuesta a incidentes y forense / Curso de Análisis forense de logs de Windows Event Log

Análisis forense de logs de Windows Event Log

Reconstruye una intrusión solo con los logs: domina el análisis forense del Windows Event Log y Sysmon.

Duración

70 Horas

Módulos

10 Módulos

Dificultad

Curso

Modalidad

Online

blue-team@isecd:~/evtx-analysis

# Investigación solo con el Event Log

$evtx → Security.evtx + Sysmon.evtx

→ 2.8M eventos cargados para análisis

# Fase 1 — Acceso inicial

$EventID 4625 → 4624 (logon tras fallos)

⚠ logon tipo 3 desde host no habitual

# Fase 2 — Ejecución

$Sysmon EID 1 + 4688 → powershell -enc

→ script block logging: descarga de payload

# Fase 3 — Persistencia

$EID 4698 → tarea programada creada

→ persistencia confirmada en 2 equipos

✓ Intrusión reconstruida con los logsINTRUSIÓN EN LOGS

Análisis del Windows Event Log aplicado a intrusiones reales

FORMACIÓN PROFESIONAL

Domina el análisis forense del Windows Event Log

Seis pilares que estructuran un análisis del Windows Event Log de nivel profesional.

El Curso de Análisis forense de logs de Windows Event Log es una formación de 70 horas diseñada para investigar intrusiones a partir de los eventos de Windows. Combina eventos de autenticación y de creación de procesos, Sysmon y PowerShell logging y detección de técnicas mapeadas a MITRE ATT&CK para que reconstruyas el ataque solo con los logs, desde el primer día.

No te formamos con teoría de eventos, sino con la investigación real: del 4624 al script block logging, sigues los pasos del atacante en el Event Log.

Cuatro pasos para comenzar tu formación

Un proceso claro y sin complicaciones diseñado para profesionales que valoran su tiempo. En cuatro pasos sencillos pasas de la primera consulta a empezar a estudiar.

Solicita información

Formaliza tu matrícula

Accede al campus virtual

Comienza tu formación

COMPETENCIAS DEL PROGRAMA

Qué dominarás al finalizar el programa

Cada barra refleja el nivel de dominio real que alcanzarás. Habilidades concretas, niveles honestos.

Analizar el Windows Event Log con criterio forense

Experto 90%

Investigar autenticación y creación de procesos

Avanzado 86%

Aprovechar Sysmon para la detección

Avanzado 84%

Detectar técnicas de ataque en los logs

Avanzado 80%

Documentar hallazgos del Event Log

Intermedio 76%

¿TIENES DUDAS?

Habla con un asesor especializado

Te ayudamos a valorar si este programa encaja con tu perfil profesional y tus objetivos. Resolvemos dudas sobre el contenido, la dedicación necesaria y las salidas profesionales, sin compromiso.

Análisis del Windows Event Log aplicado a incidentes reales del sector

No te formamos con teoría de eventos, sino con la investigación real: sigues al atacante del logon inicial a la ejecución de PowerShell y reconstruyes el ataque solo con los logs.

Contactanos

Email: contacto@isecd.com

La intrusión está en los logs

Windows registra casi todo lo que hace un atacante. Aprendes a leer esos eventos y a reconstruir la intrusión paso a paso, incluso sin EDR.

Event Log, Sysmon y PowerShell logging

Los eventos nativos de seguridad, la telemetría enriquecida de Sysmon y el script block logging de PowerShell, las fuentes que se usan de verdad en una investigación Windows.

La plataforma que domina la empresa

Casi toda organización funciona sobre Windows. Saber investigar sus logs es una de las competencias forenses más útiles y demandadas del sector.

Aprende investigando intrusiones en los logs, no solo teorizando

El análisis del Event Log no se domina leyendo. Por eso cada módulo combina contenido técnico, laboratorios de investigación guiados y casos reales del sector para que adquieras competencia aplicable desde el primer día.

Contenido técnico estructurado

Vídeos cortos, lecturas dirigidas y material descargable para asimilar los conceptos clave de cada bloque sin perder tiempo en relleno académico.

Laboratorios de análisis del Event Log

Logs reales de intrusiones (Event Log, Sysmon y PowerShell) donde sigues los pasos del atacante y reconstruyes la línea temporal, en un entorno seguro y controlado.

Casos reales del sector

Escenarios basados en intrusiones en despachos, clínicas y e-commerce: fuerza bruta, ejecución y persistencia como las que investigarás en los logs.

Temario del Curso de Análisis forense de logs de Windows Event Log

Módulo 01 — Fundamentos de los logs de Windows

1.1 El registro de eventos de Windows
1.2 Canales y proveedores
1.3 Importancia forense del Event Log

Módulo 02 — Estructura del Event Log (EVTX)

2.1 Formato EVTX
2.2 Estructura de un evento
2.3 Herramientas de lectura

Módulo 03 — Eventos de seguridad clave

3.1 Categorías de eventos de seguridad
3.2 Eventos de mayor valor
3.3 Configuración de auditoría

Módulo 04 — Autenticación y logon

4.1 Logon exitoso (4624) y fallido (4625)
4.2 Tipos de logon
4.3 Detección de fuerza bruta y pass-the-hash

Módulo 05 — Creación de procesos y línea de comandos

5.1 Evento 4688 y argumentos
5.2 Detección de ejecución sospechosa
5.3 Procesos padre e hijo

Módulo 06 — Sysmon: configuración y eventos

6.1 Despliegue y configuración de Sysmon
6.2 Eventos clave de Sysmon
6.3 Cobertura adicional de detección

Módulo 07 — PowerShell y script block logging

7.1 Logging de PowerShell
7.2 Detección de scripts ofuscados
7.3 Module y script block logging

Módulo 08 — Detección de técnicas con Event Log

8.1 Mapeo a MITRE ATT&CK
8.2 Persistencia y movimiento lateral
8.3 Indicadores en los eventos

Módulo 09 — Análisis a escala

9.1 Reenvío de eventos (WEF)
9.2 EVTX al SIEM
9.3 Correlación de eventos

Módulo 10 — Caso final integrador

10.1 Investigación de una intrusión solo con Event Log
10.2 De los logs a la línea temporal del ataque
10.3 Elaboración y defensa del informe

¿Listo para dar el siguiente paso?

Has llegado hasta aquí porque la formación te interesa de verdad. Cuéntanos sobre tu perfil profesional y un asesor especializado te contactará en menos de 24 horas.

Solicita mas información

Programas destacados de Respuesta a incidentes y forense

Cursos especializados en investigar, contener y recuperarte de incidentes de seguridad en entornos críticos. Cada programa combina técnica forense, gestión de crisis y casos reales del sector regulado donde aplicarás lo aprendido.

Respuesta a incidentes y forense

Máster en Análisis de malware avanzado y reversing

PREGUNTAS FRECUENTES

Resolvemos tus dudas sobre el programa

¿Necesito conocimientos previos?

Te recomendamos manejar Windows y entender la lectura de logs. No necesitas experiencia forense previa: partimos de la estructura del Event Log de forma progresiva.

¿Hay práctica real o solo teoría?

Cada módulo incluye laboratorios sobre logs reales de intrusiones donde investigas autenticación, procesos y PowerShell, en un entorno preparado y seguro.

¿Qué herramientas voy a aprender?

El Windows Event Log (EVTX), Sysmon y su configuración, el script block logging de PowerShell y herramientas de análisis y reenvío de eventos al SIEM.

¿Cuánto tiempo tengo que dedicarle?

El curso son 70 horas de formación. Con una dedicación de entre 8 y 10 horas semanales lo completas en unas 8 semanas, aunque al ser online y sin horarios fijos marcas tú el ritmo.

¿Encaja con mi sector?

Si das respuesta a incidentes en despachos, clínicas o e-commerce con infraestructura Windows, este curso te enseña a reconstruir las intrusiones a partir de sus logs.

¿Tendré apoyo de un tutor?

Sí. Cuentas con un tutor especializado que resuelve tus dudas técnicas, revisa tu progreso en los laboratorios y te orienta cuando un ejercicio se atasca. No estudias en solitario.

¿Qué titulación obtengo?

Al superar el curso recibes el título de Especialista en Análisis forense de logs de Windows, que acredita las 70 horas de formación y las competencias prácticas adquiridas.

¿Puedo pagar en cuotas?

Sí. Ofrecemos pago fraccionado sin intereses para que distribuyas el importe de la matrícula en cómodas mensualidades. Tu asesor te explica las opciones disponibles según tu caso.