Event ID 4672: Special privileges assigned to new logon(Security)
この Event ID がディスクに実際に記録する内容、最初に確認すべき EventData フィールド、DFIR トリアージの中での位置付けを解説します。
- チャネル
- Security
- プロバイダ
- Windows\Security
- トリアージ メモ
- Fires when a logon gets SeDebugPrivilege, SeTcbPrivilege, etc. Useful filter for admin sessions.