Windows Domain Admin group changed

windows

Classification:

attack

Tactic:

TA0003-persistence

Technique:

T1098-account-manipulation

Esta página aún no está disponible en español. Estamos trabajando en su traducción.
Si tienes alguna pregunta o comentario sobre nuestro actual proyecto de traducción, no dudes en ponerte en contacto con nosotros.

Goal

Detect when the Domain Administrator group is modified.

Strategy

Monitoring of Windows event logs where @evt.id is 4737 and the @Event.EventData.Data.TargetUserName:"Domain Admins"

Triage & Response

Verify if {{@Event.EventData.Data.SubjectUserName}} has a legitimate reason for changing the Domain Admins group