De alguna manera odio responder a mi propia pregunta, especialmente esta tarde después del hecho, sin embargo encontré un gran recurso que explica exactamente lo que se necesita registrar desde la auditoría de Windows para cumplir nuestras necesidades.
Account Management
Audit Application Group Management Success, Failure
Audit Computer Account Management Success, Failure
Audit Distribution Group Management Success, Failure
Audit Security Group Management Success, Failure
Audit User Account Management Success, Failure
Detailed Tracking
Audit DPAPI Activity No Auditing
Audit Process Creation No Auditing
Audit Process Termination No Auditing
Audit RPC Events No Auditing
DS Access
Audit Directory Service Access Failure
Logon/Logoff
Audit Account Lockout Success, Failure
Audit IPsec Extended Mode No Auditing
Audit IPsec Main Mode No Auditing
Audit IPsec Quick Mode No Auditing
Audit Logoff Success, Failure
Audit Logon Success, Failure
Audit Special Logon Success, Failure
Object Access
Audit File System Success, Failure
Audit Registry Success, Failure
Policy Change
Audit Audit Policy Change Success, Failure
Audit Authentication Policy Change Success, Failure
Audit Authorization Policy Change Success, Failure
Audit Filtering Platform Policy Change Success, Failure
Audit MPSSVC Rule-Level Policy Change Success, Failure
Audit Other Policy Change Events Success, Failure
Privilege Use
Audit Sensitive Privilege Use Failure
System
Audit Security State Change Success, Failure
Audit System Integrity Success, Failure
El que más me sorprendió de esta lista es el error solo en el uso de privilegios. Cuando pienso en ello, el uso de privilegios que nos preocupa (cambiar la configuración de auditoría, pertenencia a grupos, cambiar archivos protegidos de la integridad del sistema operativo, etc.) ya tiene sus propias categorías.