Verwenden der Windows-Ereignisweiterleitung für die Angriffserkennung
Hier erfahren Sie über ein Verfahren zum Sammeln von Ereignissen aus Geräten in Ihrer Organisation. In diesem Artikel werden Ereignisse im normalen Betrieb und bei Verdacht eines Eindringens aufgeführt.
Die Windows-Ereignisweiterleitung (Windows Event Forwarding, WEF) liest alle betriebsbezogenen oder administrativen Ereignisse, die auf einem Gerät in Ihrer Organisation angemeldet sind, und leitet die von Ihnen ausgewählten Ereignisse an einen Windows-Ereignissammlerserver (Windows Event Collector, WEC) weiter.
Um diese Funktionalität zu erreichen, gibt es zwei verschiedene Abonnements, die auf Clientgeräten veröffentlicht werden: das Baselineabonnement und das verdächtige Abonnement. Das Baselineabonnement registriert alle Geräte in Ihrer Organisation, und ein Verdächtiges Abonnement umfasst nur Geräte, die von Ihnen hinzugefügt wurden. Das Suspect-Abonnement sammelt weitere Ereignisse, um den Kontext für Systemaktivitäten zu erstellen, und kann schnell aktualisiert werden, um bei Bedarf neue Ereignisse und/oder Szenarien zu berücksichtigen, ohne dass sich dies auf baseline-Vorgänge auswirkt.
Diese Implementierung trägt dazu bei, zu unterscheiden, wo Ereignisse letztendlich gespeichert werden. Baselineereignisse können an Geräte mit Onlineanalysefunktionen wie Security Event Manager (SEM) gesendet werden, während gleichzeitig Ereignisse an ein MapReduce-System wie HDInsight oder Hadoop zur langfristigen Speicherung und tieferen Analyse gesendet werden. Ereignisse aus dem Suspect-Abonnement werden aufgrund der Lautstärke und des niedrigeren Signal-/Rauschverhältnisses direkt an ein MapReduce-System gesendet. Sie werden größtenteils für die forensische Hostanalyse verwendet.
Die Stärke eines SEM liegt in der Fähigkeit, Ereignisse zu untersuchen, zu korrelieren und Warnungen für bekannte Muster zu generieren und Sicherheitspersonal mit Computergeschwindigkeit zu warnen.
Ein MapReduce-System verfügt über eine längere Aufbewahrungsdauer (Jahre im Vergleich zu Monaten für ein SEM), eine größere Eingangsfähigkeit (Hunderte von Terabyte pro Tag) und die Möglichkeit, komplexere Vorgänge für die Daten wie statistische und Trendanalysen, Musterclusteringanalysen oder Machine Learning-Algorithmen durchzuführen.
Hier ist eine ungefähre Skalierungsanleitung für WEF-Ereignisse:
| Ereignisse/Sekundenbereich | Datenspeicher |
|---|---|
| 0 - 5,000 | SQL oder SEM |
| 5,000 - 50,000 | SEM |
| 50,000+ | Hadoop/HDInsight/Data Lake |
Die Ereignisgenerierung auf einem Gerät muss entweder separat oder als Teil des Gruppenrichtlinienobjekts für die GRUNDLEGENDE WEF-Implementierung aktiviert werden, einschließlich der Aktivierung deaktivierter Ereignisprotokolle und des Festlegens von Kanalberechtigungen. Weitere Informationen finden Sie unter Anhang C : Methoden für Ereigniskanaleinstellungen (Aktivieren und Kanalzugriff). Dies liegt daran, dass WEF ein passives System in Bezug auf das Ereignisprotokoll ist. Sie kann die Größe von Ereignisprotokolldateien nicht ändern, deaktivierte Ereigniskanäle aktivieren, Kanalberechtigungen ändern oder eine Sicherheitsüberwachungsrichtlinie anpassen. WEF fragt nur Ereigniskanäle nach vorhandenen Ereignissen ab. Darüber hinaus ermöglicht die bereits auf einem Gerät durchgeführte Ereignisgenerierung eine umfassendere Ereignissammlung, die einen vollständigen Verlauf der Systemaktivität erstellt. Andernfalls sind Sie auf die Geschwindigkeit der Aktualisierungszyklen von Gruppenrichtlinienobjekten und WEF-Abonnements beschränkt, um Änderungen daran vorzunehmen, was auf dem Gerät generiert wird. Auf modernen Geräten hat das Aktivieren von mehr Ereigniskanälen und das Erweitern der Größe von Ereignisprotokolldateien nicht zu spürbaren Leistungsunterschieden geführt.
Die empfohlenen Mindesteinstellungen für Überwachungsrichtlinien und Registrierungssystem-ACL-Einstellungen finden Sie in Anhang A – Minimale empfohlene Mindestüberwachungsrichtlinie und Anhang B – Empfohlene ACL-Richtlinie für das Registrierungssystem.
Hinweis
Dies sind nur Mindestwerte, die erfüllt werden müssen, was das WEF-Abonnement auswählt.
Aus Sicht der WEF-Abonnementverwaltung sollten die bereitgestellten Ereignisabfragen in zwei separaten Abonnements verwendet werden, um die Wartung zu vereinfachen. Nur Computer, die bestimmte Kriterien erfüllen, erhalten Zugriff auf das Zielabonnement. Dieser Zugriff wird durch einen Algorithmus oder eine Analystenrichtung bestimmt. Alle Geräte sollten Zugriff auf das Baselineabonnement haben.
Dieses System von dualen Abonnements bedeutet, dass Sie zwei Basisabonnements erstellen würden:
- Baseline-WEF-Abonnement. Von allen Hosts gesammelte Ereignisse; Diese Ereignisse enthalten einige rollenspezifische Ereignisse, die nur von diesen Computern ausgegeben werden.
- Ziel-WEF-Abonnement. Ereignisse, die aufgrund ungewöhnlicher Aktivitäten und/oder erhöhter Sensibilisierung für diese Systeme von einer begrenzten Gruppe von Hosts gesammelt wurden.
Jede verwendet die entsprechende Ereignisabfrage unten. Für das Zielabonnement sollte die Aktivierung der Option "Vorhandene Ereignisse lesen" auf TRUE festgelegt werden, um die Sammlung vorhandener Ereignisse aus Systemen zu ermöglichen. Standardmäßig leiten WEF-Abonnements nur Ereignisse weiter, die generiert wurden, nachdem das WEF-Abonnement vom Client empfangen wurde.
In Anhang E – Annotated Baseline Subscription Event Query und Anhang F – Annotated Suspect Subscription Event Query ( Annotated Suspect Subscription Event Query) ist die Ereignisabfrage-XML beim Erstellen von WEF-Abonnements enthalten. Diese Abonnements werden aus Gründen der Abfrage und der Übersichtlichkeit mit Anmerkungen versehen. Einzelne <Query> Elemente können entfernt oder bearbeitet werden, ohne dass sich dies auf den Rest der Abfrage auswirkt.
Häufig gestellte WEF-Fragen
In diesem Abschnitt werden häufig gestellte Fragen von IT-Experten und Kunden behandelt.
Wird der Benutzer feststellen, ob sein Computer für WEF aktiviert ist oder wef einen Fehler auftritt?
Die kurze Antwort lautet: Nein.
Die längere Antwort lautet: Der Ereigniskanal Eventlog-forwardingPlugin/Operational protokolliert die Erfolgs-, Warnungs- und Fehlerereignisse im Zusammenhang mit WEF-Abonnements, die auf dem Gerät vorhanden sind. Wenn der Benutzer die Ereignisanzeige nicht öffnet und zu diesem Kanal navigiert, bemerkt er WEF weder über den Ressourcenverbrauch noch durch Popups der grafischen Benutzeroberfläche. Auch wenn ein Problem mit dem WEF-Abonnement vorliegt, gibt es keine Benutzerinteraktion oder Leistungsbeeinträchtigung. Alle Erfolgs-, Warnungs- und Fehlerereignisse werden in diesem Betriebsereigniskanal protokolliert.
Wird WEF pushen oder pullen?
Ein WEF-Abonnement kann so konfiguriert werden, dass es gepusht oder gepullt wird, aber nicht beides. Die einfachste und flexibelste IT-Bereitstellung mit der größten Skalierbarkeit kann mit einem Push- oder quellinitiiertem Abonnement erreicht werden. WEF-Clients werden mithilfe eines Gruppenrichtlinienobjekts konfiguriert, und der integrierte Weiterleitungsclient wird aktiviert. Für pull-, collector-initiiert, ist das Abonnement auf dem WEC-Server mit den Namen der WEF-Clientgeräte vorkonfiguriert, von denen Ereignisse ausgewählt werden sollen. Diese Clients müssen im Voraus konfiguriert werden, damit die im Abonnement verwendeten Anmeldeinformationen remote auf ihre Ereignisprotokolle zugreifen können (normalerweise durch Hinzufügen der Anmeldeinformationen zur integrierten lokalen Sicherheitsgruppe "Ereignisprotokollleser "). Ein nützliches Szenario: eine genaue Überwachung einer bestimmten Gruppe von Computern.
Funktioniert WEF über VPN oder RAS?
WEF verarbeitet VPN-, RAS- und DirectAccess-Szenarien gut und stellt die Verbindung wieder her und sendet alle kumulierten Backlogs von Ereignissen, wenn die Verbindung mit dem WEF-Collector wiederhergestellt wird.
Wie wird der Clientstatus nachverfolgt?
Der WEC-Server verwaltet in seiner Registrierung die Lesezeicheninformationen und die Uhrzeit des letzten Heartbeats für jede Ereignisquelle für jedes WEF-Abonnement. Wenn eine Ereignisquelle erneut eine Verbindung mit einem WEC-Server herstellt, wird die letzte Lesezeichenposition an das Gerät gesendet, um als Ausgangspunkt für die Fortsetzung von Weiterleitungsereignissen zu verwenden. Wenn ein WEF-Client keine Ereignisse zum Senden hat, stellt der WEF-Client in regelmäßigen Abständen eine Verbindung her, um einen Heartbeat an den WEC-Server zu senden, um anzugeben, dass er aktiv ist. Dieser Taktwert kann für jedes Abonnement individuell konfiguriert werden.
Funktioniert WEF in einer IPv4-, IPv6- oder gemischten IPv4/IPv6-Umgebung?
Ja. WEF ist transportagnostisch und arbeitet über IPv4 oder IPv6.
Werden WEF-Ereignisse verschlüsselt? Ich sehe eine HTTP/HTTPS-Option!
In einer Domäneneinstellung wird die Verbindung, die zum Übertragen von WEF-Ereignissen verwendet wird, standardmäßig mit Kerberos verschlüsselt (mit NTLM als Fallbackoption, die mithilfe eines Gruppenrichtlinienobjekts deaktiviert werden kann). Nur der WEF-Collector kann die Verbindung entschlüsseln. Darüber hinaus wird die Verbindung zwischen WEF-Client und WEC-Server unabhängig vom Authentifizierungstyp (Kerberos oder NTLM) gegenseitig authentifiziert. Es gibt GPO-Optionen, mit denen erzwungen werden kann, dass die Authentifizierung nur Kerberos verwendet.
Diese Authentifizierung und Verschlüsselung erfolgt unabhängig davon, ob HTTP oder HTTPS ausgewählt ist.
Die HTTPS-Option ist verfügbar, wenn die zertifikatbasierte Authentifizierung verwendet wird, wenn die kerberosbasierte gegenseitige Authentifizierung keine Option ist. Das SSL-Zertifikat und die bereitgestellten Clientzertifikate werden für die gegenseitige Authentifizierung verwendet.
Verfügen WEF-Clients über einen separaten Puffer für Ereignisse?
Das lokale Ereignisprotokoll der WEF-Clientcomputer ist der Puffer für WEF, wenn die Verbindung mit dem WEC-Server unterbrochen wird. Um die "Puffergröße" zu erhöhen, erhöhen Sie die maximale Dateigröße der spezifischen Ereignisprotokolldatei, in der Ereignisse ausgewählt werden. Weitere Informationen finden Sie unter Anhang C : Ereigniskanaleinstellungen (Aktivieren und Kanalzugriff).
Wenn das Ereignisprotokoll vorhandene Ereignisse überschreibt (was zu Datenverlust führt, wenn das Gerät nicht mit dem Ereignissammler verbunden ist), wird keine Benachrichtigung an den WEF-Collector gesendet, dass Ereignisse vom Client verloren gehen. Es gibt auch keinen Hinweis darauf, dass im Ereignisdatenstrom eine Lücke aufgetreten ist.
Welches Format wird für weitergeleitete Ereignisse verwendet?
WEF verfügt über zwei Modi für weitergeleitete Ereignisse. Der Standardwert ist "Gerenderter Text", der die Textbeschreibung des Ereignisses enthält, wie sie in der Ereignisanzeige angezeigt wird. Die Aufnahme dieser Beschreibung bedeutet, dass die Ereignisgröße je nach Größe der gerenderten Beschreibung effektiv verdoppelt oder verdreifacht wird. Der alternative Modus ist "Events" (manchmal auch als "Binary"-Format bezeichnet) - dies ist nur die Ereignis-XML selbst, die im binären XML-Format gesendet wird (wie es in die evtx-Datei geschrieben würde). Dieses Format ist kompakt und kann das Ereignisvolumen, das ein einzelner WEC-Server aufnehmen kann, mehr als verdoppeln.
Ein Abonnement "testSubscription" kann für die Verwendung des Ereignisformats über das Hilfsprogramm WECUTIL konfiguriert werden:
@rem required to set the DeliveryMaxItems or DeliveryMaxLatencyTime
Wecutil ss "testSubscription" /cf:Events
Wie häufig werden WEF-Ereignisse übermittelt?
Ereignisübermittlungsoptionen sind Teil der Konfigurationsparameter des WEF-Abonnements. Es gibt drei integrierte Abonnementübermittlungsoptionen: Normal, Minimieren der Bandbreite und Minimieren der Latenz. Ein viertes Catch-All namens "Benutzerdefiniert" ist verfügbar, kann aber nicht über die WEF-Benutzeroberfläche mithilfe der Ereignisanzeige ausgewählt oder konfiguriert werden. Die Option Benutzerdefinierte Übermittlung muss mit der WECUTIL.EXE Befehlszeilenanwendung ausgewählt und konfiguriert werden. Alle Abonnementoptionen definieren eine maximale Ereignisanzahl und ein maximales Ereignisalter. Wenn ein Limit überschritten wird, werden die akkumulierten Ereignisse an den Ereignissammler gesendet.
In dieser Tabelle werden die integrierten Übermittlungsoptionen beschrieben:
| Optionen zur Optimierung der Ereignisübermittlung | Beschreibung |
|---|---|
| Normal | Diese Option stellt eine zuverlässige Übermittlung von Ereignissen sicher und versucht nicht, Bandbreite zu sparen. Dies ist die richtige Wahl, es sei denn, Sie benötigen eine strengere Kontrolle über die Bandbreitennutzung oder müssen weitergeleitete Ereignisse so schnell wie möglich übermittelt werden. Es verwendet den Pullübermittlungsmodus, batchiert 5 Elemente gleichzeitig und legt ein Batchtimeout von 15 Minuten fest. |
| Minimieren der Bandbreite | Diese Option stellt sicher, dass die Verwendung der Netzwerkbandbreite für die Ereignisübermittlung streng kontrolliert wird. Dies ist eine geeignete Wahl, wenn Sie die Häufigkeit von Netzwerkverbindungen einschränken möchten, die zum Übermitteln von Ereignissen hergestellt werden. Er verwendet den Pushübermittlungsmodus und legt ein Batchtimeout von 6 Stunden fest. Darüber hinaus wird ein Taktintervall von 6 Stunden verwendet. |
| Minimieren der Latenz | Diese Option stellt sicher, dass Ereignisse mit minimaler Verzögerung übermittelt werden. Dies ist eine geeignete Wahl, wenn Sie Warnungen oder kritische Ereignisse sammeln. Er verwendet den Pushübermittlungsmodus und legt ein Batchtimeout von 30 Sekunden fest. |
Weitere Informationen zu Übermittlungsoptionen finden Sie unter Konfigurieren erweiterter Abonnementeinstellungen.
Der Hauptunterschied besteht in der Latenz, welche Ereignisse vom Client gesendet werden. Wenn keine der integrierten Optionen Ihren Anforderungen entspricht, können Sie benutzerdefinierte Ereignisübermittlungsoptionen für ein bestimmtes Abonnement über eine Eingabeaufforderung mit erhöhten Rechten festlegen:
@rem required to set the DeliveryMaxItems or DeliveryMaxLatencyTime
Wecutil ss "SubscriptionNameGoesHere" /cm:Custom
@rem set DeliveryMaxItems to 1 event
Wecutil ss "SubscriptionNameGoesHere" /dmi:1
@rem set DeliveryMaxLatencyTime to 10 ms
Wecutil ss "SubscriptionNameGoesHere" /dmlt:10
Wie kann ich steuern, welche Geräte Zugriff auf ein WEF-Abonnement haben?
Für von der Quelle initiierte Abonnements: Jedes WEF-Abonnement auf einem WEC-Server verfügt über eine eigene Zugriffssteuerungsliste für Computerkonten oder Sicherheitsgruppen, die Computerkonten (keine Benutzerkonten) enthalten, die explizit zur Teilnahme an diesem Abonnement berechtigt sind oder denen der Zugriff explizit verweigert wird. Diese ACL gilt nur für ein einzelnes WEF-Abonnement (da auf einem bestimmten WEC-Server mehrere WEF-Abonnements vorhanden sein können), verfügen andere WEF-Abonnements über eine eigene separate ACL.
Für vom Collector initiierte Abonnements: Das Abonnement enthält die Liste der Computer, von denen der WEC-Server Ereignisse erfassen soll. Diese Liste wird auf dem WEC-Server verwaltet, und die anmeldeinformationen, die für das Abonnement verwendet werden, müssen Zugriff zum Lesen von Ereignisprotokollen von den WEF-Clients haben. Die Anmeldeinformationen können entweder das Computerkonto oder ein Domänenkonto sein.
Kann ein Client mit mehreren WEF-Ereignissammlern kommunizieren?
Ja. Wenn Sie eine High-Availability Umgebung wünschen, konfigurieren Sie mehrere WEC-Server mit derselben Abonnementkonfiguration, und veröffentlichen Sie beide WEC-Server-URIs auf WEF-Clients. WEF-Clients leiten Ereignisse gleichzeitig an die konfigurierten Abonnements auf den WEC-Servern weiter, wenn sie über den entsprechenden Zugriff verfügen.
Welche Einschränkungen gelten für den WEC-Server?
Es gibt drei Faktoren, die die Skalierbarkeit von WEC-Servern einschränken. Die allgemeine Regel für einen stabilen WEC-Server auf Standardhardware ist die Planung von durchschnittlich 3.000 Ereignissen pro Sekunde für alle konfigurierten Abonnements.
Datenträger-E/A. Der WEC-Server verarbeitet oder überprüft das empfangene Ereignis nicht, sondern puffert das empfangene Ereignis und protokolliert es dann in einer lokalen Ereignisprotokolldatei (EVTX-Datei). Die Geschwindigkeit der Protokollierung in der EVTX-Datei wird durch die Schreibgeschwindigkeit des Datenträgers eingeschränkt. Wenn Sie die EVTX-Datei in ein eigenes Array isolieren oder Hochgeschwindigkeitsdatenträger verwenden, kann die Anzahl der Ereignisse pro Sekunde erhöht werden, die ein einzelner WEC-Server empfangen kann.
Netzwerkverbindungen. Obwohl eine WEF-Quelle keine permanente, dauerhafte Verbindung mit dem WEC-Server aufrechterhält, wird die Verbindung nach dem Senden der Ereignisse nicht sofort getrennt. Diese Nachsicht bedeutet, dass die Anzahl der WEF-Quellen, die gleichzeitig eine Verbindung mit dem WEC-Server herstellen können, auf die offenen TCP-Ports beschränkt ist, die auf dem WEC-Server verfügbar sind.
Registrierungsgröße. Für jedes eindeutige Gerät, das eine Verbindung mit einem WEF-Abonnement herstellt, wird ein Registrierungsschlüssel (der dem FQDN des WEF-Clients entspricht) erstellt, um Lesezeichen- und Quelltaktinformationen zu speichern. Wenn diese Informationen nicht gelöscht werden, um inaktive Clients zu entfernen, kann dieser Satz von Registrierungsschlüsseln im Laufe der Zeit auf eine nicht verwaltbare Größe anwachsen.
- Wenn ein Abonnement >über 1.000 WEF-Quellen verfügt, die während seiner Betriebsdauer (auch als LEBENSDAUER-WEF-Quellen bezeichnet) verbunden sind, kann die Ereignisanzeige einige Minuten lang nicht mehr reagieren, wenn der Knoten Abonnements im linken Navigationsbereich ausgewählt wird, funktioniert aber danach normal.
- Bei >50.000 WEF-Quellen ist die Ereignisanzeige keine Option mehr, und wecutil.exe (in Windows enthalten) müssen zum Konfigurieren und Verwalten von Abonnements verwendet werden.
- Bei >100.000 WEF-Quellen für die Lebensdauer ist die Registrierung nicht lesbar, und der WEC-Server muss wahrscheinlich neu erstellt werden.
Abonnementinformationen
Im Folgenden werden alle Elemente aufgelistet, die jedes Abonnement sammelt. Die tatsächliche Abonnement-XML ist in einem Anhang verfügbar. Diese Elemente sind in Baseline und Targeted unterteilt. Die Absicht besteht darin, alle Hosts für Baseline zu abonnieren und dann hosts nach Bedarf für das Zielabonnement zu registrieren (und zu entfernen).
Baselineabonnement
Obwohl dieses Abonnement das größte Abonnement zu sein scheint, ist es tatsächlich das niedrigste Volumen pro Gerät. (Ausnahmen sollten für ungewöhnliche Geräte zulässig sein. Ein Gerät, das komplexe Entwickleraufgaben ausführt, kann erwartet werden, dass ein ungewöhnlich hohes Volumen an Prozesserstellungs- und AppLocker-Ereignissen erzeugt.) Dieses Abonnement erfordert keine spezielle Konfiguration auf Clientgeräten, um Ereigniskanäle zu aktivieren oder Kanalberechtigungen zu ändern.
Das Abonnement ist im Wesentlichen eine Sammlung von Abfrageanweisungen, die auf das Ereignisprotokoll angewendet werden. Dieses Abonnement bedeutet, dass es modular ist und eine bestimmte Abfrageanweisung entfernt oder geändert werden kann, ohne dass sich dies auf andere Abfrageanweisungen im Abonnement auswirkt. Darüber hinaus unterdrücken Sie Anweisungen, die bestimmte Ereignisse herausfiltern, nur innerhalb dieser Abfrageanweisung gelten und nicht für das gesamte Abonnement gelten.
Baselineabonnementanforderungen
Um den größtmöglichen Nutzen aus dem Basisabonnement zu ziehen, empfehlen wir, die folgenden Anforderungen auf dem Gerät festzulegen, um sicherzustellen, dass die Clients bereits die erforderlichen Ereignisse generieren, die vom System weitergeleitet werden sollen.
Wenden Sie eine Sicherheitsüberwachungsrichtlinie an, die eine Obermenge der empfohlenen Mindestüberwachungsrichtlinie ist. Weitere Informationen finden Sie unter Anhang A – Empfohlene Mindestüberwachungsrichtlinie. Diese Richtlinie stellt sicher, dass das Sicherheitsereignisprotokoll die erforderlichen Ereignisse generiert.
Wenden Sie mindestens eine Audit-Only AppLocker-Richtlinie auf Geräte an.
- Wenn Sie bereits Ereignisse mithilfe von AppLocker zulassen oder einschränken, ist diese Anforderung erfüllt.
- AppLocker-Ereignisse enthalten nützliche Informationen wie Dateihash und digitale Signaturinformationen für ausführbare Dateien und Skripts.
Aktivieren Sie deaktivierte Ereigniskanäle, und legen Sie die Mindestgröße für moderne Ereignisdateien fest.
Derzeit gibt es keine GPO-Vorlage zum Aktivieren oder Festlegen der maximalen Größe für die modernen Ereignisdateien. Dieser Schwellenwert muss mithilfe eines Gruppenrichtlinienobjekts definiert werden. Weitere Informationen finden Sie unter Anhang C : Ereigniskanaleinstellungen (Aktivieren und Kanalzugriff).
Die mit Anmerkungen versehene Ereignisabfrage finden Sie im Folgenden. Weitere Informationen finden Sie unter Anhang F – Abfrage mit Anmerkungen zu verdächtigen Abonnementereignissen.
Antischadsoftwareereignisse von Windows-Sicherheit. Diese Ereignisse können problemlos für jedes bestimmte Antischadsoftwareprodukt konfiguriert werden, wenn es in das Windows-Ereignisprotokoll schreibt.
Sicherheitsereignisprotokoll ProzessErstellungsereignisse.
AppLocker Process Create-Ereignisse (EXE, Skript, gepackte App-Installation und -Ausführung).
Registrierungsänderungsereignisse. Weitere Informationen finden Sie unter Anhang B – Empfohlene Mindestrichtlinie für registrierungssystem-ACL.
Starten und Herunterfahren des Betriebssystems
- Zu den Startereignissen gehören Betriebssystemversion, Service Pack-Ebene, QFE-Version und Startmodus.
Dienstinstallation
- Enthält den Namen des Diensts, den Imagepfad und wer den Dienst installiert hat.
Überwachungsereignisse der Zertifizierungsstelle
- Diese Ereignisse gelten nur für Systeme, auf denen die Rolle "Zertifizierungsstelle" installiert ist.
- Protokolliert Zertifikatanforderungen und -antworten.
Benutzerprofilereignisse
- Die Verwendung eines temporären Profils oder das Erstellen eines Benutzerprofils kann darauf hindeuten, dass sich ein Eindringling interaktiv bei einem Gerät anmeldet, aber kein persistentes Profil hinterlassen möchte.
Fehler beim Starten des Diensts
- Fehlercodes sind lokalisiert, sodass Sie die Meldungs-DLL auf Werte überprüfen müssen.
Netzwerkfreigabezugriffsereignisse
- Filtern Sie IPC$- und /NetLogon-Dateifreigaben heraus, die erwartet und verrauscht sind.
Initiieren von Anforderungen für das Herunterfahren des Systems
- Erfahren Sie, was den Neustart eines Geräts initiiert hat.
Vom Benutzer initiiertes interaktives Abmeldeereignis
Remotedesktopdienste-Sitzungen stellen eine Verbindung her, stellen die Verbindung wieder her oder trennen die Verbindung.
EMET-Ereignisse, wenn EMET installiert ist.
Ereignisse des Ereignisweiterleitungs-Plug-Ins
- Zum Überwachen von WEF-Abonnementvorgängen, z. B. Partielle Erfolgsereignisse. Dieses Ereignis ist nützlich für die Diagnose von Bereitstellungsproblemen.
Erstellen und Löschen von Netzwerkfreigaben
- Ermöglicht die Erkennung einer nicht autorisierten Freigabeerstellung.
Hinweis
Alle Freigaben werden neu erstellt, wenn das Gerät gestartet wird.
- Ermöglicht die Erkennung einer nicht autorisierten Freigabeerstellung.
Anmeldesitzungen
- Erfolgreiche Anmeldung für interaktiv (lokal und Remote Interactive/Remotedesktop)
- Erfolgreiche Anmeldung für Dienste für nicht integrierte Konten wie LocalSystem, LocalNetwork usw.
- Erfolgreiche Anmeldung für Batchsitzungen
- Schließen der Anmeldesitzung, d. h. Abmeldeereignisse für Nicht-Netzwerksitzungen.
Windows-Fehlerberichterstattung (nur Anwendungsabsturzereignisse)
- Diese Sitzung kann helfen, frühe Anzeichen von Eindringlingen zu erkennen, die nicht mit der Unternehmensumgebung vertraut sind, indem gezielte Schadsoftware verwendet wird.
Ereignisse des Ereignisprotokolldiensts
- Fehler, Startereignisse und Stoppereignisse für den Windows-Ereignisprotokolldienst.
Ereignisprotokoll gelöscht (einschließlich des Sicherheitsereignisprotokolls)
- Dieses Ereignis könnte auf einen Eindringling hinweisen, der seine Spuren bedeckt.
Besondere Berechtigungen, die der neuen Anmeldung zugewiesen sind
- Diese Zuweisung gibt an, dass ein Benutzer zum Zeitpunkt der Anmeldung entweder ein Administrator ist oder über den ausreichenden Zugriff verfügt, um sich selbst als Administrator zu machen.
Sitzungsversuche für ausgehende Remotedesktopdienste
- Einblick in potenziellen Strandkopf für Eindringlinge
Systemzeit geändert
SMB-Client (zugeordnete Laufwerkverbindungen)
Überprüfung der Kontoanmeldeinformationen
- Lokale Konten oder Domänenkonten auf Domänencontrollern
Ein Benutzer wurde der lokalen Sicherheitsgruppe "Administratoren" hinzugefügt oder daraus entfernt.
Zugriff auf den privaten Kryptografie-API-Schlüssel
- Verknüpft mit Signaturobjekten mithilfe des lokal gespeicherten privaten Schlüssels.
Taskplaner-Aufgabenerstellung und -löschung
- Der Taskplaner ermöglicht Eindringlingen das Ausführen von Code zu angegebenen Zeiten als LocalSystem.
Anmelden mit expliziten Anmeldeinformationen
- Erkennen von Anmeldeinformationen, die Änderungen von Eindringlingen verwenden, um auf weitere Ressourcen zuzugreifen.
Überprüfungsereignisse des Smartcard-Karteninhabers
- Dieses Ereignis erkennt, wenn eine Smartcard verwendet wird.
Verdächtiges Abonnement
Dieses Abonnement fügt einige mögliche Aktivitäten im Zusammenhang mit Eindringlingen hinzu, um analysten dabei zu helfen, ihre Ermittlungen zum Zustand des Geräts weiter zu verfeinern.
Erstellung der Anmeldesitzung für Netzwerksitzungen
- Ermöglicht die Zeitreihenanalyse von Netzwerkgraphen.
RADIUS- und VPN-Ereignisse
- Nützlich, wenn Sie eine Radius-/VPN-Implementierung von Microsoft IAS verwenden. Es wird die Zuweisung der IP-Adresse vom Typ "Benutzer"> mit einer Remote-IP-Adresse angezeigt, die eine Verbindung mit dem Unternehmen herstellt.
Crypto API X509-Objekt- und Buildkettenereignisse
- Erkennt bekannte fehlerhafte Zertifikate, Zertifizierungsstellen oder untere Zertifizierungsstellen
- Erkennt ungewöhnliche Prozessverwendung von CAPI
Gruppen, die der lokalen Anmeldung zugewiesen sind
- Bietet Sichtbarkeit für Gruppen, die den kontoweiten Zugriff ermöglichen
- Ermöglicht eine bessere Planung für Korrekturmaßnahmen
- Schließt bekannte integrierte Systemkonten aus.
Beenden der Anmeldesitzung
- Spezifisch für Netzwerkanmeldungssitzungen.
Client-DNS-Suchereignisse
- Gibt den Prozess zurück, der eine DNS-Abfrage ausgeführt hat, und die vom DNS-Server zurückgegebenen Ergebnisse.
Beenden des Prozesses
- Ermöglicht die Überprüfung auf Prozesse, die unerwartet beendet werden.
Überprüfung lokaler Anmeldeinformationen oder Anmeldung mit expliziten Anmeldeinformationen
- Wird generiert, wenn das lokale SAM autoritativ für die Anmeldeinformationen des Kontos ist, die authentifiziert werden.
- Rauschen auf Domänencontrollern
- Auf Clientgeräten wird sie nur generiert, wenn sich lokale Konten anmelden.
Überwachungsereignisse für Registrierungsänderungen
- Nur, wenn ein Registrierungswert erstellt, geändert oder gelöscht wird.
Wireless 802.1x-Authentifizierung
- Erkennen einer drahtlosen Verbindung mit einer PEER-MAC-Adresse
Windows PowerShell-Protokollierung
- Behandelt Windows PowerShell 2.0 und höher und enthält die Verbesserungen der Windows PowerShell 5.0-Protokollierung für In-Memory-Angriffe mit Windows PowerShell.
- Umfasst die Windows PowerShell-Remotingprotokollierung.
User Mode Driver Framework"-Ereignis "Driver Loaded"
- Kann möglicherweise erkennen, dass ein USB-Gerät mehrere Gerätetreiber lädt. Beispielsweise ein USB_STOR Gerät, das die Tastatur oder den Netzwerktreiber lädt.
Anhang A : Empfohlene Mindestüberwachungsrichtlinie
Wenn Ihre Organisationsüberwachungsrichtlinie mehr Überwachung ermöglicht, um ihre Anforderungen zu erfüllen, ist dies in Ordnung. Die folgende Richtlinie enthält die Mindesteinstellungen für Überwachungsrichtlinien, die erforderlich sind, um Ereignisse zu aktivieren, die sowohl von Baseline- als auch von Zielabonnements erfasst werden.
| Kategorie | Unterkategorie | Überwachungseinstellungen |
|---|---|---|
| Kontoanmeldung | Überprüfung von Anmeldeinformationen | Erfolg und Misserfolg |
| Kontoverwaltung | Sicherheitsgruppenverwaltung | Möglich |
| Kontoverwaltung | Benutzerkontenverwaltung | Erfolg und Misserfolg |
| Kontoverwaltung | Computerkontoverwaltung | Erfolg und Misserfolg |
| Kontoverwaltung | Andere Kontoverwaltungsereignisse | Erfolg und Misserfolg |
| Detaillierte Nachverfolgung | Prozesserstellung | Möglich |
| Detaillierte Nachverfolgung | Prozessbeendigung | Möglich |
| Anmeldung/Abmeldung | Benutzer-/Geräteansprüche | Nicht konfiguriert |
| Anmeldung/Abmeldung | Erweiterter IPsec-Modus | Nicht konfiguriert |
| Anmeldung/Abmeldung | IPsec-Schnellmodus | Nicht konfiguriert |
| Anmeldung/Abmeldung | Anmeldung | Erfolg und Misserfolg |
| Anmeldung/Abmeldung | Abmelden (Logoff) | Möglich |
| Anmeldung/Abmeldung | Andere Anmelde-/Abmeldeereignisse | Erfolg und Misserfolg |
| Anmeldung/Abmeldung | Spezielle Anmeldung | Erfolg und Misserfolg |
| Anmeldung/Abmeldung | Kontosperrung | Möglich |
| Objektzugriff | Generierte Anwendung | Nicht konfiguriert |
| Objektzugriff | Dateifreigabe | Möglich |
| Objektzugriff | Dateisystem | Nicht konfiguriert |
| Objektzugriff | Andere Objektzugriffsereignisse | Nicht konfiguriert |
| Objektzugriff | Registrierung | Nicht konfiguriert |
| Objektzugriff | Wechselmedien | Möglich |
| Richtlinienänderung | Richtlinienänderung überwachen | Erfolg und Misserfolg |
| Richtlinienänderung | ÄNDERUNG DER MPSSVC-Rule-Level-Richtlinie | Erfolg und Misserfolg |
| Richtlinienänderung | Andere Richtlinienänderungsereignisse | Erfolg und Misserfolg |
| Richtlinienänderung | Änderung der Authentifizierungsrichtlinie | Erfolg und Misserfolg |
| Richtlinienänderung | Änderung der Autorisierungsrichtlinie | Erfolg und Misserfolg |
| Berechtigungsverwendung | Verwendung vertraulicher Berechtigungen | Nicht konfiguriert |
| System | Sicherheitsstatusänderung | Erfolg und Misserfolg |
| System | Sicherheitssystemerweiterung | Erfolg und Misserfolg |
| System | Systemintegrität | Erfolg und Misserfolg |
Anhang B: Empfohlene Mindestrichtlinie für die Registrierungssystem-ACL
Die Schlüssel "Run" und "RunOnce" sind nützlich für Eindringlinge und Schadsoftwarepersistenz. Es ermöglicht die Ausführung von Code (bzw. nur einmal und dann entfernt), wenn sich ein Benutzer beim System anmeldet.
Diese Auswirkung kann problemlos auf andere Startpunkte für die automatische Ausführung in der Registrierung erweitert werden.
Verwenden Sie die folgenden Abbildungen, um zu sehen, wie Sie diese Registrierungsschlüssel konfigurieren können.
Anhang C: Methoden für Ereigniskanaleinstellungen (Aktivieren und Kanalzugriff)
Einige Kanäle sind standardmäßig deaktiviert und müssen aktiviert werden. Für andere Benutzer, z. B. Microsoft-Windows-CAPI2/Operational, muss der Kanalzugriff so geändert werden, dass die integrierte Sicherheitsgruppe Ereignisprotokollleseberechtigte daraus lesen kann.
Die empfohlene und effektivste Methode für diese Anpassung besteht darin, das Baseline-GPO so zu konfigurieren, dass eine geplante Aufgabe ausgeführt wird, um die Ereigniskanäle zu konfigurieren (Aktivieren, Festlegen der maximalen Größe und Anpassen des Kanalzugriffs). Diese Konfiguration wird beim nächsten GPO-Aktualisierungszyklus wirksam und hat nur minimale Auswirkungen auf das Clientgerät.
Der folgende GPO-Codeausschnitt führt die folgenden Aufgaben aus:
- Aktiviert den Ereigniskanal Microsoft-Windows-Capi2/Operational .
- Legt die maximale Dateigröße für Microsoft-Windows-Capi2/Operational auf 100 MB fest.
- Legt die maximale Dateigröße für Microsoft-Windows-AppLocker/EXE und DLL auf 100 MB fest.
- Legt den maximalen Kanalzugriff für Microsoft-Windows-Capi2/Operational fest, um die integrierte Sicherheitsgruppe Ereignisprotokollleser einzuschließen.
- Aktiviert den Ereigniskanal Microsoft-Windows-DriverFrameworks-UserMode/Operational .
- Legt die maximale Dateigröße für Microsoft-Windows-DriverFrameworks-UserMode/Operational auf 50 MB fest.
Die folgende Tabelle enthält auch die sechs Aktionen, die im Gruppenrichtlinienobjekt konfiguriert werden sollen:
| Programm/Skript | Argumente |
|---|---|
| %SystemRoot%\System32\wevtutil.exe | sl Microsoft-Windows-CAPI2/Operational /e:true |
| %SystemRoot%\System32\wevtutil.exe | sl Microsoft-Windows-CAPI2/Operational /ms:102432768 |
| %SystemRoot%\System32\wevtutil.exe | sl "Microsoft-Windows-AppLocker/EXE und DLL" /ms:102432768 |
| %SystemRoot%\System32\wevtutil.exe | sl Microsoft-Windows-CAPI2/Operational /ca:"O:BAG:SYD:(A;; 0x7;;; BA)(A;; 0x2;;; AU)(A;; 0x1;;; S-1-5-32-573)" |
| %SystemRoot%\System32\wevtutil.exe | sl "Microsoft-Windows-DriverFrameworks-UserMode/Operational" /e:true |
| %SystemRoot%\System32\wevtutil.exe | sl "Microsoft-Windows-DriverFrameworks-UserMode/Operational" /ms:52432896 |
Anhang D: Mindestrichtlinienobjekt für die WEF-Clientkonfiguration
Hier sind die Mindestschritte für den Betrieb von WEF aufgeführt:
- Konfigurieren Sie die Collector-URI(s).
- Starten Sie den WinRM-Dienst.
- Fügen Sie das Netzwerkdienstkonto der integrierten Sicherheitsgruppe Ereignisprotokollleser hinzu. Diese Ergänzung ermöglicht das Lesen aus einem geschützten Ereigniskanal, z. B. dem Sicherheitsereigniskanal.
Anhang E: Abfrage von Ereignissen im Basisabonnement mit Anmerkungen
<QueryList>
<Query Id="0" Path="System">
<!-- Anti-malware *old* events, but only detect events (cuts down noise) -->
<Select Path="System">*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119)]]</Select>
</Query>
<!-- AppLocker EXE events or Script events -->
<Query Id="1" Path="Microsoft-Windows-AppLocker/EXE and DLL">
<Select Path="Microsoft-Windows-AppLocker/EXE and DLL">*[UserData[RuleAndFileData[PolicyName="EXE"]]]</Select>
<Select Path="Microsoft-Windows-AppLocker/MSI and Script">*</Select>
</Query>
<Query Id="2" Path="Security">
<!-- Wireless Lan 802.1x authentication events with Peer MAC address -->
<Select Path="Security">*[System[(EventID=5632)]]</Select>
</Query>
<Query Id="3" Path="Microsoft-Windows-TaskScheduler/Operational">
<!-- Task scheduler Task Registered (106), Task Registration Deleted (141), Task Deleted (142) -->
<Select Path="Microsoft-Windows-TaskScheduler/Operational">*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]</Select>
</Query>
<Query Id="4" Path="System">
<!-- System startup (12 - includes OS/SP/Version) and shutdown -->
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]]</Select>
</Query>
<Query Id="5" Path="System">
<!-- Service Install (7000), service start failure (7045), new service (4697) -->
<Select Path="System">*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045)]]</Select>
<Select Path="Security">*[System[(EventID=4697)]]</Select>
</Query>
<Query Id="6" Path="Security">
<!-- TS Session reconnect (4778), TS Session disconnect (4779) -->
<Select Path="Security">*[System[(EventID=4778 or EventID=4779)]]</Select>
</Query>
<Query Id="7" Path="Security">
<!-- Network share object access without IPC$ and Netlogon shares -->
<Select Path="Security">*[System[(EventID=5140)]] and (*[EventData[Data[@Name="ShareName"]!="\\*\IPC$"]]) and (*[EventData[Data[@Name="ShareName"]!="\\*\NetLogon"]])</Select>
</Query>
<Query Id="8" Path="Security">
<!-- System Time Change (4616) -->
<Select Path="Security">*[System[(EventID=4616)]]</Select>
</Query>
<Query Id="9" Path="System">
<!-- Shutdown initiate requests, with user, process and reason (if supplied) -->
<Select Path="System">*[System[Provider[@Name='USER32'] and (EventID=1074)]]</Select>
</Query>
<!-- AppLocker packaged (Modern UI) app execution -->
<Query Id="10" Path="Microsoft-Windows-AppLocker/Packaged app-Execution">
<Select Path="Microsoft-Windows-AppLocker/Packaged app-Execution">*</Select>
</Query>
<!-- AppLocker packaged (Modern UI) app installation -->
<Query Id="11" Path="Microsoft-Windows-AppLocker/Packaged app-Deployment">
<Select Path="Microsoft-Windows-AppLocker/Packaged app-Deployment">*</Select>
</Query>
<Query Id="12" Path="Application">
<!-- EMET events -->
<Select Path="Application">*[System[Provider[@Name='EMET']]]</Select>
</Query>
<Query Id="13" Path="System">
<!-- Event log service events -->
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]</Select>
</Query>
<Query Id="14" Path="Security">
<!-- Local logons without network or service events -->
<Select Path="Security">*[System[(EventID=4624)]] and (*[EventData[Data[@Name="LogonType"]!="3"]]) and (*[EventData[Data[@Name="LogonType"]!="5"]])</Select>
</Query>
<Query Id="15" Path="Application">
<!-- WER events for application crashes only -->
<Select Path="Application">*[System[Provider[@Name='Windows Error Reporting']]] and (*[EventData[Data[3] ="APPCRASH"]])</Select>
</Query>
<Query Id="16" Path="Security">
<!-- Security Log cleared events (1102), EventLog Service shutdown (1100)-->
<Select Path="Security">*[System[(EventID=1102 or EventID = 1100)]]</Select>
</Query>
<Query Id="17" Path="System">
<!-- Other Log cleared events (104)-->
<Select Path="System">*[System[(EventID=104)]]</Select>
</Query>
<Query Id="18" Path="Security">
<!-- user initiated logoff -->
<Select Path="Security">*[System[(EventID=4647)]]</Select>
</Query>
<Query Id="19" Path="Security">
<!-- user logoff for all non-network logon sessions-->
<Select Path="Security">*[System[(EventID=4634)]] and (*[EventData[Data[@Name="LogonType"] != "3"]])</Select>
</Query>
<Query Id="20" Path="Security">
<!-- Service logon events if the user account isn't LocalSystem, NetworkService, LocalService -->
<Select Path="Security">*[System[(EventID=4624)]] and (*[EventData[Data[@Name="LogonType"]="5"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-18"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-19"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-20"]])</Select>
</Query>
<Query Id="21" Path="Security">
<!-- Network Share create (5142), Network Share Delete (5144) -->
<Select Path="Security">*[System[(EventID=5142 or EventID=5144)]]</Select>
</Query>
<Query Id="22" Path="Security">
<!-- Process Create (4688) -->
<Select Path="Security">*[System[EventID=4688]]</Select>
</Query>
<Query Id="23" Path="Security">
<!-- Event log service events specific to Security channel -->
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]</Select>
</Query>
<Query Id="26" Path="Security">
<!-- Special Privileges (Admin-equivalent Access) assigned to new logon, excluding LocalSystem-->
<Select Path="Security">*[System[(EventID=4672)]]</Select>
<Suppress Path="Security">*[EventData[Data[1]="S-1-5-18"]]</Suppress>
</Query>
<Query Id="27" Path="Security">
<!-- New user added to local security group-->
<Select Path="Security">*[System[(EventID=4732)]]</Select>
</Query>
<Query Id="28" Path="Security">
<!-- New user added to global security group-->
<Select Path="Security">*[System[(EventID=4728)]]</Select>
</Query>
<Query Id="29" Path="Security">
<!-- New user added to universal security group-->
<Select Path="Security">*[System[(EventID=4756)]]</Select>
</Query>
<Query Id="30" Path="Security">
<!-- User removed from local Administrators group-->
<Select Path="Security">*[System[(EventID=4733)]] and (*[EventData[Data[@Name="TargetUserName"]="Administrators"]])</Select>
</Query>
<Query Id="31" Path="Microsoft-Windows-TerminalServices-RDPClient/Operational">
<!-- Log attempted TS connect to remote server -->
<Select Path="Microsoft-Windows-TerminalServices-RDPClient/Operational">*[System[(EventID=1024)]]</Select>
</Query>
<Query Id="32" Path="Security">
<!-- Certificate Services received certificate request (4886), Approved and Certificate issued (4887), Denied request (4888) -->
<Select Path="Security">*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]</Select>
</Query>
<Query Id="34" Path="Security">
<!-- New User Account Created(4720), User Account Enabled (4722), User Account Disabled (4725), User Account Deleted (4726) -->
<Select Path="Security">*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]]</Select>
</Query>
<Query Id="35" Path="Microsoft-Windows-SmartCard-Audit/Authentication">
<!-- Gets all Smart-card Card-Holder Verification (CHV) events (success and failure) performed on the host. -->
<Select Path="Microsoft-Windows-SmartCard-Audit/Authentication">*</Select>
</Query>
<Query Id="36" Path="Microsoft-Windows-SMBClient/Operational">
<!-- get all UNC/mapped drive successful connection -->
<Select Path="Microsoft-Windows-SMBClient/Operational">*[System[(EventID=30622 or EventID=30624)]]</Select>
</Query>
<Query Id="37" Path="Application">
<!-- User logging on with Temporary profile (1511), cannot create profile, using temporary profile (1518)-->
<Select Path="Application">*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]]</Select>
</Query>
<Query Id="39" Path="Microsoft-Windows-Sysmon/Operational">
<!-- Modern SysMon event provider-->
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
<Query Id="40" Path="Application">
<!-- Application crash/hang events, similar to WER/1001. These include full path to faulting EXE/Module.-->
<Select Path="Application">*[System[Provider[@Name='Application Error'] and (EventID=1000)]]</Select>
<Select Path="Application">*[System[Provider[@Name='Application Hang'] and (EventID=1002)]]</Select>
</Query>
<Query Id="41" Path="Microsoft-Windows-Windows Defender/Operational">
<!-- Modern Windows Defender event provider Detection events (1006-1009) and (1116-1119) -->
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[( (EventID >= 1006 and EventID <= 1009) )]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[( (EventID >= 1116 and EventID <= 1119) )]]</Select>
</Query>
<Query Id="42" Path="Security">
<!-- An account Failed to Log on events -->
<Select Path="Security">*[System[(EventID=4625)]] and (*[EventData[Data[@Name="LogonType"]!="2"]]) </Select>
</Query>
</QueryList>
Anhang F– Abfrage mit Anmerkungen zu verdächtigen Abonnementereignissen
<QueryList>
<Query Id="0" Path="Security">
<!-- Network logon events-->
<Select Path="Security">*[System[(EventID=4624)]] and (*[EventData[Data[@Name="LogonType"]="3"]])</Select>
</Query>
<Query Id="1" Path="System">
<!-- RADIUS authentication events User Assigned IP address (20274), User successfully authenticated (20250), User Disconnected (20275) -->
<Select Path="System">*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]]</Select>
</Query>
<Query Id="2" Path="Microsoft-Windows-CAPI2/Operational">
<!-- CAPI events Build Chain (11), Private Key accessed (70), X509 object (90)-->
<Select Path="Microsoft-Windows-CAPI2/Operational">*[System[(EventID=11 or EventID=70 or EventID=90)]]</Select>
</Query>
<Query Id="3" Path="Security">
<!-- CA stop/Start events CA Service Stopped (4880), CA Service Started (4881), CA DB row(s) deleted (4896), CA Template loaded (4898) -->
<Select Path="Security">*[System[(EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898)]]</Select>
</Query>
<Query Id="4" Path="Microsoft-Windows-LSA/Operational">
<!-- Groups assigned to new login (except for well known, built-in accounts)-->
<Select Path="Microsoft-Windows-LSA/Operational">*[System[(EventID=300)]] and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-20"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-18"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-19"]])</Select>
</Query>
<Query Id="5" Path="Security">
<!-- Logoff events - for Network Logon events-->
<Select Path="Security">*[System[(EventID=4634)]] and (*[EventData[Data[@Name="LogonType"] = "3"]])</Select>
</Query>
<Query Id="6" Path="Security">
<!-- RRAS events - only generated on Microsoft IAS server -->
<Select Path="Security">*[System[( (EventID >= 6272 and EventID <= 6280) )]]</Select>
</Query>
<Query Id="7" Path="Microsoft-Windows-DNS-Client/Operational">
<!-- DNS Client events Query Completed (3008) -->
<Select Path="Microsoft-Windows-DNS-Client/Operational">*[System[(EventID=3008)]]</Select>
<!-- suppresses local machine name resolution events -->
<Suppress Path="Microsoft-Windows-DNS-Client/Operational">*[EventData[Data[@Name="QueryOptions"]="140737488355328"]]</Suppress>
<!-- suppresses empty name resolution events -->
<Suppress Path="Microsoft-Windows-DNS-Client/Operational">*[EventData[Data[@Name="QueryResults"]=""]]</Suppress>
</Query>
<Query Id="8" Path="Security">
<!-- Process Terminate (4689) -->
<Select Path="Security">*[System[(EventID = 4689)]]</Select>
</Query>
<Query Id="9" Path="Security">
<!-- Local credential authentication events (4776), Logon with explicit credentials (4648) -->
<Select Path="Security">*[System[(EventID=4776 or EventID=4648)]]</Select>
</Query>
<Query Id="10" Path="Security">
<!-- Registry modified events for Operations: New Registry Value created (%%1904), Existing Registry Value modified (%%1905), Registry Value Deleted (%%1906) -->
<Select Path="Security">*[System[(EventID=4657)]] and ((*[EventData[Data[@Name="OperationType"] = "%%1904"]]) or (*[EventData[Data[@Name="OperationType"] = "%%1905"]]) or (*[EventData[Data[@Name="OperationType"] = "%%1906"]]))</Select>
</Query>
<Query Id="11" Path="Security">
<!-- Request made to authenticate to Wireless network (including Peer MAC (5632) -->
<Select Path="Security">*[System[(EventID=5632)]]</Select>
</Query>
<Query Id="12" Path="Microsoft-Windows-PowerShell/Operational">
<!-- PowerShell execute block activity (4103), Remote Command(4104), Start Command(4105), Stop Command(4106) -->
<Select Path="Microsoft-Windows-PowerShell/Operational">*[System[(EventID=4103 or EventID=4104 or EventID=4105 or EventID=4106)]]</Select>
</Query>
<Query Id="13" Path="Microsoft-Windows-DriverFrameworks-UserMode/Operational">
<!-- Detect User-Mode drivers loaded - for potential BadUSB detection. -->
<Select Path="Microsoft-Windows-DriverFrameworks-UserMode/Operational">*[System[(EventID=2004)]]</Select>
</Query>
<Query Id="14" Path="Windows PowerShell">
<!-- Legacy PowerShell pipeline execution details (800) -->
<Select Path="Windows PowerShell">*[System[(EventID=800)]]</Select>
</Query>
</QueryList>
Anhang G : Onlineressourcen
Weitere Informationen finden Sie unter den folgenden Links: