# Windows

- [Средства мониторинга Windows](/blue-team-cookbook/windows/audit.md)
- [Стандартный аудит Windows](/blue-team-cookbook/windows/audit/standartnyi-audit-windows.md)
- [Расширенный аудит Windows](/blue-team-cookbook/windows/audit/advanced-security-auditing.md)
- [Логирование PowerShell](/blue-team-cookbook/windows/audit/powershell-logs.md)
- [Логирование командной строки](/blue-team-cookbook/windows/audit/cmdline-logging.md)
- [Sysmon](/blue-team-cookbook/windows/audit/sysmon.md)
- [\[Cheat Sheet\] ТОП-10 событий для мониторинга](/blue-team-cookbook/windows/top-events-to-monitor.md): Основные события, которые представляют наибольший интерес для аналитика SOC
- [Event ID 4697, 7045. Службы Windows](/blue-team-cookbook/windows/top-events-to-monitor/event-id-4697-7045.-sluzhby-windows.md)
- [Event ID 4624. Парные сессии, уровень целостности и UAC](/blue-team-cookbook/windows/top-events-to-monitor/event-id-4624.-parnye-sessii-uroven-celostnosti-i-uac.md)
- [Процесс LSASS и его секреты](/blue-team-cookbook/windows/lsass.md)
- [Реестр Windows: ключ к системе](/blue-team-cookbook/windows/registry.md)
- [Что может сделать атакующий с доступом в реестр на запись](/blue-team-cookbook/windows/registry/chto-mozhet-sdelat-atakuyushii-s-dostupom-v-reestr-na-zapis.md)
- [NTLM-хеши](/blue-team-cookbook/windows/ntlm-hashes.md): Атаки с использованием NTLM (Path-the-Hash) и netNTLM (SMB Relay), обнаружение NTLM Relay
- [SMB: Атаки через RPC и именованные каналы](/blue-team-cookbook/windows/smb.md): Как детектировать атаки через SMB, RPC и именованные каналы. Разбор работы инструментов, примеры логов. Учимся ловить Impacket, горизонтальное перемещение и secretsdump.
- [Ловим горизонтальное перемещение через RPC на примере Impacket](/blue-team-cookbook/windows/smb/rpc.md)
- [Охотимся на GetSystem: повышение привилегий через именованные каналы](/blue-team-cookbook/windows/smb/getsystem.md): Named pipe impersonation: что происходит, когда выполняешь getsystem, и как это обнаружить. Meterpeter, Cobalstrike и PowerSploit.
- [LPE и семья картошек](/blue-team-cookbook/windows/potatoes-lpe.md): Как работает семейство уязвимостей известных как "Potatoes" и как обнаружить эксплуатацию