Em geral, sim. Provavelmente, você também deve examinar o tipo de logon para determinar como o usuário acessou o servidor. Eu estou pensando que você quer procurar tipos de logon 2, 10 e possivelmente 5.
E se sim, então isso deve aparecer como 528 do ID do evento.
Em outras palavras, se eu olhar o evento ID 528, posso obter uma lista de suspeitos. Está correto?
Isso abrangerá os casos de uso mais comuns, mas os aplicativos podem ser instalados por processos remotos (como PSExec, scripts em lote ou uma ferramenta de implantação remota, como o CA Unicenter.) Eles não registram necessariamente esse código de evento.
O que você descreve é um ótimo lugar para começar, no entanto.