Обнаружение атак на повышение привилегий, когда пользователь получает привилегии учетной записи SYSTEM - Windows

У нас есть требование аудита от клиента, чтобы иметь возможность отслеживать "Полученные пользователем привилегии SYSTEM".

Мы используем среду Windows Server 2012/2016 в Azure и используем Azure Log Analytics и Microsoft ATA для мониторинга безопасности и составления отчетов.

Я посмотрел повсюду и начинаю думать, что это невозможно отследить. Может кто-нибудь подтвердить, если это возможно, и как это можно сделать??