[решено] Спам в журнал Security - Event 4634 Выход из системы (Гость)

Включил аудит входа в систему и аудит событий входа в систему.
Теперь видна такая последовательность:

Фиксируются несколько событий Аудита Отказа Event 4776 Credential validation, например:

Скрытый текст

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 20.04.2020 14:04:47
Код события: 4776
Категория задачи:Credential Validation
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: Bigbro
Описание:
Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ЮЛИАН
Исходная рабочая станция:
Код ошибки: 0xC0000064
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2020-04-20T11:04:47.681451200Z" />
<EventRecordID>1411013</EventRecordID>
<Correlation ActivityID="{7dac4cce-16ab-0000-114e-ac7dab16d601}" />
<Execution ProcessID="1084" ThreadID="13944" />
<Channel>Security</Channel>
<Computer>Bigbro</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">ЮЛИАН</Data>
<Data Name="Workstation">
</Data>
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>

в каждом из событий разные имена пользователей, похоже на часто используемые, но явно не мои, например
Demo
ЮЛИАН
administrator
bar
Office1
Гость
GLAVBUH
БАЗА2

далее идет Аудит отказа, событие Logon 4625, с соответсвующим именем пользователя

Скрытый текст

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 20.04.2020 14:14:07
Код события: 4625
Категория задачи:Logon
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: Bigbro
Описание:
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: БАЗА2
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC0000064

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: 138.99.216.124
Порт источника: 0

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2020-04-20T11:14:07.805763600Z" />
<EventRecordID>1411493</EventRecordID>
<Correlation ActivityID="{7dac4cce-16ab-0000-114e-ac7dab16d601}" />
<Execution ProcessID="1084" ThreadID="13944" />
<Channel>Security</Channel>
<Computer>Bigbro</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">БАЗА2</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">-</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">138.99.216.124</Data>
<Data Name="IpPort">0</Data>
</EventData>
</Event>

В тот момент когда идет попытка под Гостем, фикируется аудит успеха (вход), а потом аудит успеха (выход) который как раз я описал в первом сообщении.
Как можно попытаться найти источник этой гадости?

UPD!!
Проблема найдена. На роутере был проброшен 3389 в сторону компа. Соответсвенно видим обычный брутфорс RDP.
Видимо просто под гостем у них авторизация срабатывала, поэтому фиксировался аудит выхода который по дефолту пишется в журнал. Но под гостем RDP нельзя, так что перебор шел дальше..