Я создал пользовательское предупреждение в центре безопасности, чтобы предупредить меня, когда запрашивается Windows EventID 4624.
По какой-то причине запрос успешно выполняется, когда я его тестирую, но не запускается в центре событий безопасности.
Я включил оповещение на 2 дня без триггера.
Поисковый запрос:
search in (SecurityEvent) EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
Оценка:
Каждые 5 минут На основе более высокого оповещенияна пороге 0.