Zestawy zdarzeń zabezpieczeń systemu Windows, które można wysłać do usługi Microsoft Sentinel
Podczas pozyskiwania zdarzeń zabezpieczeń z urządzeń z systemem Windows przy użyciu łącznika danych Zabezpieczenia Windows Events (w tym starszej wersji) można wybrać zdarzenia do zebrania spośród następujących zestawów:
Wszystkie zdarzenia — wszystkie zdarzenia zabezpieczeń systemu Windows i funkcji AppLocker.
Wspólne — standardowy zestaw zdarzeń na potrzeby inspekcji. W tym zestawie znajduje się pełny dziennik inspekcji użytkownika. Na przykład zawiera zdarzenia logowania użytkownika i wylogowania użytkownika (identyfikatory zdarzeń 4624, 4634). Istnieją również akcje inspekcji, takie jak zmiany grupy zabezpieczeń, operacje kerberos kontrolera domeny klucza i inne typy zdarzeń zgodnie z zaakceptowanymi najlepszymi rozwiązaniami.
Zestaw typowych zdarzeń może zawierać niektóre typy zdarzeń, które nie są tak powszechne. Jest to spowodowane tym, że głównym punktem wspólnego zestawu jest zmniejszenie liczby zdarzeń do bardziej zarządzanego poziomu, przy jednoczesnym zachowaniu pełnej możliwości dziennika inspekcji.
Minimalny — mały zestaw zdarzeń, które mogą wskazywać na potencjalne zagrożenia. Ten zestaw nie zawiera pełnego dziennika inspekcji. Obejmuje tylko zdarzenia, które mogą wskazywać na pomyślne naruszenie, oraz inne ważne zdarzenia, które mają bardzo niskie wskaźniki wystąpienia. Na przykład zawiera pomyślne i nieudane logowania użytkowników (identyfikatory zdarzeń 4624, 4625), ale nie zawierają informacji o wylogowaniu (4634), które, choć ważne w przypadku inspekcji, nie ma znaczenia w przypadku wykrywania naruszeń i ma stosunkowo dużą ilość. Większość danych tego zestawu składa się ze zdarzeń logowania i zdarzeń tworzenia procesów (identyfikator zdarzenia 4688).
Niestandardowe — zestaw zdarzeń określany przez Użytkownika, użytkownika i zdefiniowany w regule zbierania danych przy użyciu zapytań XPath. Dowiedz się więcej o regułach zbierania danych.
Dokumentacja identyfikatora zdarzenia
Poniższa lista zawiera pełny podział identyfikatorów zdarzeń zabezpieczeń i funkcji AppLocker dla każdego zestawu:
| Zestaw zdarzeń | Zebrane identyfikatory zdarzeń |
|---|---|
| Minimalny | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Wspólny | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Następne kroki
W tym dokumencie przedstawiono sposób filtrowania kolekcji zdarzeń systemu Windows do usługi Microsoft Sentinel.
- Dowiedz się więcej o zbieraniu zdarzeń zabezpieczeń systemu Windows.
- Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel przy użyciu wbudowanych lub niestandardowych reguł.