Odio rispondere alla mia stessa domanda specialmente dopo questo fatto, tuttavia ho trovato un ottima risorsa che spiega esattamente cosa deve essere registrato dal controllo di Windows per soddisfare i nostri bisogni
Account Management
Audit Application Group Management Success, Failure
Audit Computer Account Management Success, Failure
Audit Distribution Group Management Success, Failure
Audit Security Group Management Success, Failure
Audit User Account Management Success, Failure
Detailed Tracking
Audit DPAPI Activity No Auditing
Audit Process Creation No Auditing
Audit Process Termination No Auditing
Audit RPC Events No Auditing
DS Access
Audit Directory Service Access Failure
Logon/Logoff
Audit Account Lockout Success, Failure
Audit IPsec Extended Mode No Auditing
Audit IPsec Main Mode No Auditing
Audit IPsec Quick Mode No Auditing
Audit Logoff Success, Failure
Audit Logon Success, Failure
Audit Special Logon Success, Failure
Object Access
Audit File System Success, Failure
Audit Registry Success, Failure
Policy Change
Audit Audit Policy Change Success, Failure
Audit Authentication Policy Change Success, Failure
Audit Authorization Policy Change Success, Failure
Audit Filtering Platform Policy Change Success, Failure
Audit MPSSVC Rule-Level Policy Change Success, Failure
Audit Other Policy Change Events Success, Failure
Privilege Use
Audit Sensitive Privilege Use Failure
System
Audit Security State Change Success, Failure
Audit System Integrity Success, Failure
Quello che mi ha sorpreso di più in questa lista è il fallimento solo nell'uso dei privilegi. Quando ci penso, l'uso dei privilegi di cui ci preoccupiamo, cambiando le impostazioni di controllo, l'appartenenza ai gruppi, la modifica dei file protetti dall'integrità del sistema operativo, ecc., Abbiamo già le loro categorie.