Event ID 4672: Special privileges assigned to new logon (Security)
Lo que este Event ID realmente registra en disco, los campos EventData a leer primero y su lugar en un flujo de triage DFIR.
- Canal
- Security
- Proveedor
- Windows\Security
- Notas de triage
- Fires when a logon gets SeDebugPrivilege, SeTcbPrivilege, etc. Useful filter for admin sessions.