Windows Domain Admin Group Changed

Classification:

attack

Tactic:

Technique:

このページは日本語には対応しておりません。随時翻訳に取り組んでいます。翻訳に関してご質問やご意見ございましたら、お気軽にご連絡ください。

Goal

Detect when the Domain Administrator group is modified.

Monitoring of Windows event logs where @evt.id is 4737 and the @Event.EventData.Data.TargetUserName:"Domain Admins"

Verify if {{@Event.EventData.Data.SubjectUserName}} has a legitimate reason for changing the Domain Admins group