Sady událostí zabezpečení Windows, které se dají odeslat do Microsoft Sentinelu
Při ingestování událostí zabezpečení ze zařízení s Windows pomocí datového konektoru Zabezpečení Windows Events (včetně starší verze) můžete zvolit, které události se mají shromažďovat z následujících sad:
Všechny události – Všechny události zabezpečení Windows a AppLocker.
Běžné – standardní sada událostí pro účely auditování. V této sadě je zahrnutý úplný záznam auditu uživatele. Obsahuje například události přihlášení uživatele i odhlášení uživatelů (ID událostí 4624, 4634). Existují také akce auditování, jako jsou změny skupiny zabezpečení, operace kerberos řadiče domény klíče a další typy událostí v souladu s uznávanými osvědčenými postupy.
Sada událostí Common může obsahovat některé typy událostí, které nejsou tak běžné. Důvodem je to, že hlavním bodem společné sady je snížení objemu událostí na lépe spravovatelnou úroveň a zachování úplné možnosti záznamu auditu.
Minimální – malá sada událostí, která by mohla znamenat potenciální hrozby. Tato sada neobsahuje úplný záznam auditu. Týká se pouze událostí, které můžou znamenat úspěšné porušení zabezpečení, a další důležité události, které mají velmi nízkou míru výskytu. Obsahuje například úspěšná a neúspěšná přihlášení uživatelů (ID událostí 4624, 4625), ale neobsahuje informace o odhlášení (4634), které i když jsou pro auditování důležité, nejsou pro detekci porušení zabezpečení smysluplné a mají relativně velký objem. Většina datového objemu této sady se skládá z událostí přihlášení a událostí vytváření procesů (ID události 4688).
Vlastní – sada událostí určených vámi, uživatelem a definovaným v pravidle shromažďování dat pomocí dotazů XPath. Přečtěte si další informace o pravidlech shromažďování dat.
Referenční informace k ID události
Následující seznam obsahuje úplný rozpis ID událostí Security a App Lockeru pro každou sadu:
| Sada událostí | Shromážděná ID událostí |
|---|---|
| Minimální | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Společný | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Další kroky
V tomto dokumentu jste zjistili, jak filtrovat kolekci událostí Windows do Microsoft Sentinelu.
- Přečtěte si další informace o shromažďování událostí zabezpečení Systému Windows.
- Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel pomocí integrovaných nebo vlastních pravidel.