API

Windows User Added to Domain Admin Group

Docs > Plateforme de sécurité Datadog > OOTB Rules > Windows User Added to Domain Admin Group

Classification:

attack

Tactic:

TA0003-persistence

Technique:

T1098-account-manipulation

Cette page n'est pas encore disponible en français, sa traduction est en cours.
Si vous avez des questions ou des retours sur notre projet de traduction actuel, n'hésitez pas à nous contacter.

Goal

Detect when a user is added to the Domain Administrator group. A rogue active directory account can added to the Domain Admins group.

Strategy

Monitoring of Windows event logs where @evt.id is 4728 and the @Event.EventData.Data.TargetUserName:"Domain Admins"

Triage & Response

Verify if {{@Event.EventData.Data.TargetUserName}} should be added to the Domain Admins group