Tenemos un servidor Kiwi Syslog para fines de registro centralizado.
Actualmente, nuestro enfoque es solo en el monitoreo, revisión e informe de violaciones de cuentas de usuario / contraseñas.
Ya usamos los filtros necesarios basados en el ID de evento en este enlace - enlace .
Ahora, nuestra pregunta es aunque ya estamos recibiendo las alertas. ¿Cómo identificamos alertas como la Id. De evento de Windows 4625 - "Una cuenta que no se pudo iniciar sesión" está relacionada con un ataque / violación de seguridad, o si solo son alertas falsas?