Comme indiqué dans le titre, le but ici est de détecter lorsqu'un compte local est créé sur une machine.
sourcetype="WinEventLog:Security" EventCode=4720 Account_Name!="*$" Account_Name!="ANONYMOUS LOGON" | table _time, Account_Name, New_Account_Name, src_user, host Explication de la recherche :
sourcetype="WinEventLog:Security" : Filtre les journaux d'événements de type "WinEventLog:Security". EventCode=4720 : Recherche les événements de code 4720 qui indiquent la création d'un compte utilisateur sur une machine Windows. Account_Name!="*$" : Exclut les événements avec un nom de compte générique. Account_Name!="ANONYMOUS LOGON" : Exclut les événements d'ouverture de session anonyme, car nous cherchons les créations de comptes spécifiques. Cette recherche vous fournira les informations telles que l'heure (_time), le nom du compte créé (New_Account_Name), le nom du compte à l'origine de la création (Account_Name), l'utilisateur source (src_user) et l'hôte concerné (host).
Comme indiqué dans le titre, le but ici est de détecter lorsqu'un compte local est créé sur une machine.
sourcetype="WinEventLog:Security" EventCode=4720 Account_Name!="*$" Account_Name!="ANONYMOUS LOGON" | table _time, Account_Name, New_Account_Name, src_user, host Explication de la recherche :
sourcetype="WinEventLog:Security" : Filtre les journaux d'événements de type "WinEventLog:Security". EventCode=4720 : Recherche les événements de code 4720 qui indiquent la création d'un compte utilisateur sur une machine Windows. Account_Name!="*$" : Exclut les événements avec un nom de compte générique. Account_Name!="ANONYMOUS LOGON" : Exclut les événements d'ouverture de session anonyme, car nous cherchons les créations de comptes spécifiques. Cette recherche vous fournira les informations telles que l'heure (_time), le nom du compte créé (New_Account_Name), le nom du compte à l'origine de la création (Account_Name), l'utilisateur source (src_user) et l'hôte concerné (host).
index= source="WinEventLog:Security" (EventCode=4720 OR EventCode=624) | eval CreatedBy = mvindex(Account_Name,0) | eval New_User = mvindex(Account_Name,1) | search CreatedBy= | table _time EventCode CreatedBy New_User