Sabemos que nuestro registro de ventanas se deshabilitó en varios servidores de Windows cuando comenzamos a recibir alertas de mensajes de registro tardíos en nuestro SIEM. Sabemos aproximadamente el marco de tiempo que esto sucedió. Sin embargo, no sé qué buscar para determinar cómo y quién realizó el cambio.
No puedo encontrar el ID de mensaje del proveedor correspondiente en el sitio web de MS. ¿Registraría Windows este cambio en otro lugar por el que pueda buscar? El registro no fue borrado, solo deshabilitado.
Utilicé VMID 7040 para el servicio que estaba deshabilitado, pero no pude obtener ningún resultado. Así que no creo que se haya deshabilitado esa ruta. No estoy seguro de cómo podría haber sido deshabilitado. Tal vez una edición de registro?