Las categorías de eventos de seguridad proporciona un medio rápido con el propósito de identificar entradas en el registro de eventos, los cuales podrían ser de interés en una investigación. Siguen directamente desde las políticas de auditoría habilitadas sobre un sistema Windows. Para cada uno de estas categorías, la política de auditoría puede ser ajustada para no auditar, auditar el éxito, falla, o ya sea auditar el éxito o falla.

Cuando los eventos son activados y grabados en los registros, son marcados con la categoría específica a la cual corresponda. Cuando la auditoría está deshabilitada para cualquier categoría, se debe esperar no ver grabado ningún evento de este tipo.

Auditoría de eventos de logon para cuentas: Audita cada instancia del “login” de usuario o el “logout” desde otra computadora en la cual esta computadora es utilizada para validar la cuenta.

Auditoría para gestión de cuentas: Audita cada evento para la gestión de la cuenta sobre la computadora. Ejemplos de mantenimiento de cuenta incluye cambio de contraseñas, cuentas de usuario y modificaciones de grupo.

Auditoría de acceso al servicio de directorio: Audita el evento de un usuario accediendo hacia un objeto del Directorio Activo, el cual tiene especificada su propia lista de control de acceso al sistema (SACL).

Auditoría de eventos de logon: Audita cada instancia del “login” de usuario o el “logout” desde una computadora. Esto es diferente de la categoría “Auditoría de eventos de logon para cuentas”. Esto rastrea el evento de login hacia un servidor específico. Rastrea cual controlador de dominio autentica al usuario.

Auditoría de acceso hacia objetos: Audita el evento de un usuario accediendo hacia un objeto el cual tiene especificada su propia lista de control de acceso al sistema (SACL). Ejemplos de objetos son archivos, carpetas, llaves de registro, impresoras, etc.

Auditoría de cambio de política: Audita cada incidente de cambio a las políticas de asignación para derechos de usuario, políticas de auditoría, o políticas de confianza. Audita uso privilegiado, audita cada instancia de un usuario ejercitando un derecho de usuario.

Auditoría para el rastro del proceso: Audita información de rastreo detallado para eventos como activación de programa, salida de procesos, duplicación de manejo, y acceso indirecto a objetos.

Auditoría de eventos del sistema: Audita cuando un usuario reinicia o apaga la computadora, o cuando un evento ocurre afectando ya sea la seguridad del sistema o el registro de seguridad.

Fuentes:

https://technet.microsoft.com/en-us/library/cc766468(v=ws.29).aspx