این هشدار زمانی فعال میشود که تغییری در دو سیاست پیشفرض و حیاتی اکتیو دایرکتوری یعنی Default Domain Policy و Default Domain Controllers Policy رخ دهد. این سیاستها شناسه (GUID) مشخصی دارند و تغییر در آنها میتواند بر امنیت کل دامین و تمام دامین کنترلرها تأثیر بگذارد. مهاجمان با دسترسی ادمین، ممکن است این سیاستها را تغییر دهند تا بدافزار توزیع کنند، تنظیمات امنیتی را کاهش دهند یا پایداری (Persistence) ایجاد کنند. این رول با پایش تغییرات ویژگی versionNumber در لاگهای دایرکتوری سرویس (Event 5136)، هرگونه ویرایش روی این GPOها را شناسایی میکند.
برای تحلیل و اعتبارسنجی این هشدار، موارد زیر را بررسی کنید:
هنگام تحلیل لاگهای سیستمی در اسپلانک، این فیلدها حیاتی هستند: