点击 Details 查看完整事件，重点看：

发起请求的进程名 / 路径、客户端端口、服务名

用高级搜索，按客户端 IP 过滤所有 4768 事件，看是否有固定时间、固定进程的规律。

创建规则：当事件 ID 4768 且用户名 = 某个用户时，触发邮件告警。关联来源 IP 和进程，快速定位问题。