Event ID 4672: Special privileges assigned to new logon (Security)
O que esse Event ID realmente registra em disco, os campos EventData a ler primeiro e onde ele se encaixa em um fluxo de triagem DFIR.
- Canal
- Security
- Provedor
- Windows\Security
- Notas de triagem
- Fires when a logon gets SeDebugPrivilege, SeTcbPrivilege, etc. Useful filter for admin sessions.