1. Событие 4624 "Успешный вход в систему": это событие отображает информацию о том, кто успешно вошел в систему. При аудите информационной безопасности данное событие может помочь в обнаружении подозрительных действий, таких как неавторизованный вход или использование учетной записи с повышенными привилегиями.
2. Событие 4634 "Выход из системы": данное событие отображает информацию о том, кто вышел из системы. Это может быть полезно при обнаружении неавторизованных выходов из системы или потенциальной компрометации учетной записи.
3. Событие 4648 "Описание конфигурации субъекта безопасности": это событие отображает информацию о конфигурации учетной записи с повышенными привилегиями, такой как администратор. Эта информация может использоваться для обнаружения несанкционированных изменений в настройках системы.
4. Событие 4688 "Выполнение нового процесса": данное событие отображает информацию о том, какой процесс был запущен и кем он был запущен. Это может помочь в обнаружении вредоносных программ или внутренних атак.
5. Событие 4698 "Создание новой службы": это событие отображает информацию о том, какая служба была создана и кем она была создана. Это может помочь в обнаружении потенциально вредоносных служб.
6. Событие 4719 "Изменение привилегий пользователя": данное событие отображает информацию о том, какие привилегии были изменены для учетной записи. Это может помочь в обнаружении потенциально опасных действий, таких как повышение привилегий.
7. Событие 4720 "Создание учетной записи": это событие отображает информацию о том, какая учетная запись была создана и кем она была создана. Это может помочь в обнаружении неавторизованных созданий учетных записей.
8. Событие 4722 "Изменение учетной записи": данное событие отображает информацию о том, какие изменения были внесены в учетную запись. Это может помочь в обнаружении несанкционированных изменений и компрометации учетной записи.
9. Событие 4768 "Сетевой вход по Kerberos": это событие отображает информацию о пользователе, который входит в систему через Kerberos. Это может помочь в обнаружении потенциальных атак типа "Pass the Ticket".
10. Событие 5140 "Создание файла": данное событие отображает информацию о создании нового файла и его местоположении. Эта информация может использоваться для обнаружения вредоносных файлов или несанкционированного доступа к файлам.
