مجموعات أحداث أمان Windows التي يمكن إرسالها إلى Microsoft Sentinel
عند استيعاب أحداث الأمان من أجهزة Windows باستخدام موصل بيانات آمن من Windows Events (بما في ذلك الإصدار القديم)، يمكنك اختيار الأحداث التي يجب جمعها من بين المجموعات التالية:
جميع الأحداث - كل أحداث أمان Windows وAppLocker.
Common - مجموعة قياسية من الأحداث لأغراض التدقيق. يتم تضمين مسار تدقيق كامل للمستخدم في هذه المجموعة. على سبيل المثال، يحتوي على كل من تسجيل دخول المستخدم وأحداث تسجيل الخروج (معرفات الحدث 4624، 4634). هناك أيضًا إجراءات التدوين مثل تغييرات مجموعة الأمان، وحدة تحكم المجال الرئيسية عمليات Kerberos، وأنواع أخرى من الأحداث بما يتماشى مع أفضل الممارسات المقبولة.
قد تحتوي مجموعة الأحداث العامة على بعض أنواع الأحداث غير الشائعة. ويرجع ذلك إلى أن النقطة الرئيسية في المجموعة المشتركة تهدف إلى تقليل حجم الأحداث إلى مستوى أكثر قابلية للإدارة، مع الحفاظ على إمكانية تتبع مسار التدقيق الكامل.
Minimal - مجموعة صغيرة من الأحداث التي قد تشير إلى تهديدات محتملة. لا تحتوي هذه المجموعة على سجل تدقيق كامل. وهو يغطي الأحداث التي قد تشير إلى خرق ناجح فحسب، وغيرها من الأحداث المهمة التي لديها معدلات حدوث منخفضة جداً. على سبيل المثال، يحتوي على عمليات تسجيل دخول المستخدم الناجحة والفاشلة (معرفات الأحداث 4624، 4625)، ولكنه لا يحتوي على معلومات تسجيل الخروج (4634) التي، على الرغم من أهميتها للتدقيق، غير ذات معنى للكشف عن الاختراق ولها حجم كبير نسبياً. يتكون معظم حجم البيانات لهذه المجموعة من أحداث تسجيل الدخول وأحداث إنشاء العملية (معرف الحدث 4688).
مخصص - مجموعة من الأحداث التي تحددها أنت والمستخدم والمعرفة في قاعدة جمع البيانات باستخدام استعلامات XPath. تعرف على المزيد بشأن قواعد تجميع البيانات.
مرجع معرف الحدث
توفر القائمة التالية توزيعاً كاملاً لمعرفات أحداث الأمان وApp Locker لكل مجموعة:
| مجموعة الأحداث | معرفات الأحداث المجمعة |
|---|---|
| الحد الأدنى | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| عام | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
الخطوات التالية
في هذا المستند، تعلمت كيفية تصفية مجموعة أحداث Windows في Microsoft Sentinel.
- تعرف على المزيد بشأن جمع أحداث الأمان من Windows.
- ابدأ في اكتشاف التهديدات باستخدام Microsoft Sentinel، باستخدام قواعد مضمنة أو مخصصة.