Me refiero a enlace para trabajar y detectar la Detección de movimiento lateral de Windows. Existe una regla con respecto a la Regla de correlación: Inicio de sesión explícito automatizado de Windows. Indica que el recuento de umbrales debe ser mayor que 9. ¿Es obligatorio? ¿Ni siquiera una entrada de inicio de sesión automatizada plantea una preocupación?
Creo que tienes razón, querrías registrar algunos de estos todo el tiempo. 7045 parece saltar hacia mí. En comparación, esta es la regla de división:
index=windows LogName=System EventCode=7045 NOT
(Service_Name=tenable_mw_scan) | eval
Message=split(Message,".") | eval
Short_Message=mvindex(Message,0)
| table _Ome host Service_Name, Service_Type, Service_Start_Type,
Service_Account, Short_Message
referencia: enlace
Lea otras preguntas en las etiquetas windows account-security