En række af de Subscriptions jeg har kørrende kan findes her , disse Subscriptions virker på en Windows 10 host.

Flere af disse Subscriptions vil kunne tunes endnu mere end de er nu, men udfordringen er altid, log formeget og man drukner, log forlidt og man har ikke nok events...

Kort beskrivelse

AdmPwd.xml

Eventlogs fra Microsoft LAPS, såfremt at en klient skulle have udfordringer med at skifte Passworded

LadminChange.xml

Ændringer i Lokal administator gruppen på en klient

Lcreateddetelted.xml

Creation og sletning af lokale bruger på en klient

Powershell.xml

Powershell logging

ServiceCreation.xml

Installation af serivce, vil spotte Psexec, PDQDeploy, Windows Defender meget hurtigt m.flere

WindowsDefender.xml

Windows Defender eventloggen

clearsecLog.xml

Clear security loggen.

emet.xml 

Microsoft Emet Events

NB. Sikkerhed folk vil sikker mene at Sysmon mangler ;-) hvilket også er sandt :-)