Event ID 4672: Special privileges assigned to new logon (Security)
Cosa registra davvero questo Event ID su disco, i campi EventData da leggere per primi e dove si colloca in un workflow di triage DFIR.
- Canale
- Security
- Provider
- Windows\Security
- Note di triage
- Fires when a logon gets SeDebugPrivilege, SeTcbPrivilege, etc. Useful filter for admin sessions.