ຫຼາຍໆເທື່ອທີ່ເຄື່ອງ Windows Server ນັ້ນຖືກແຮັກແຕ່ຜູ້ເບິ່ງແຍງນັ້ນຮູ້ຕົວຊ້າເກີນໄປ ຈົນເຮັດໃຫ້ເກີດບັນຫາບານປາຍ ດັ່ງນັ້ນຫາກເຮົາຍິ່ງ detect ການຖືກເຈາະ ຫລື ການຖືກແຮັກໄດ້ໄວເທົ່າໄດກໍຈະຍິ່ງເປັນຜົນດີີຕໍ່ການເຮັດ incident response ມາເບິ່ງກັນວ່າຕົວຢ່າງມື້ນີ້ຈະມີຫຍັງແດ່
| Event | Event ID | Detail |
| New Process Start | 4688 | ເມື່ອມີການ execute ຫລື run process ໃໝ່ |
| User Logon Success | 4624 | ເມື່ອມີການ logon success |
| Share Accessed | 5140 | ເມື່ອ user ມີການເຂົ້າເຖິງສ່ວນ share |
| New Service Installed | 7045 | ເມື່ອມີການສ້າງ service ໃໝ່ |
| Network Connection Made | 5156 | ເມື່ອມີການສ້າງ connection ໃດໆ ສິ່ງທີ່ເຮົາສົນໃຈຄື process ໃດເປັນຜູ້ດສ້າງ ແລະສ້າງໄປໃສ |
| File Auditing | 4663 | ເມື່ອມີໄຟລ໌ໃໝ່ເກີດຂຶ້ນ ຫລື ມີການແກ້ໄຂ ຫລື ລົບໄຟລ໌ຖິ້ມ |
| Registry Auditing | 4657 | ເມື່ອມີ Registry ເກີດຂຶ້ນ ຫລື ມີການແກ້ໄຂ ຫລື ລົບ Registry ຖິ້ມ |
| Using Powershell | 500 | ເມື່ອມີການໃຊ້ງານ Powershell |
| Firewall was changed | 2004 | ເມື່ອມີການ rule firewall |
| Schedule task add | 106 | ເມື່ອມີການເພີ່ມ schedule task |
| PSEXEC | 4697/7045 | ເມື່ອມີການໃຊ້ງານ psexec (Pass-the-hash) command |
ຂໍ້ມູນຈາກ Splunk Cheat Sheet, Matt B Article, techsuii
