Compartilhar via


Conjuntos de eventos de segurança do Windows que podem ser enviados para o Microsoft Sentinel

Ao ingerir eventos de segurança de dispositivos Windows usando o conector de dados de Eventos de Segurança do Windows (incluindo a versão herdada), você pode escolher quais eventos coletar entre os conjuntos a seguir:

  • Todos os eventos – Todos os eventos de segurança do Windows e do AppLocker.

  • Comum – Um conjunto padrão de eventos para fins de auditoria. Uma trilha de auditoria completa do usuário está incluída nesse conjunto. Por exemplo, ele contém eventos de entrada e saída do usuário (IDs de evento 4624, 4634). Também há ações de auditoria, como alterações de grupo de segurança, operações Kerberos do controlador de domínio principal e outros tipos de eventos de acordo com as melhores práticas aceitas.

    O conjunto de eventos Comum pode conter alguns tipos de eventos que não são tão comuns. Isso ocorre porque o ponto principal do conjunto Comum é reduzir o volume de eventos a um nível mais gerenciável, mantendo a capacidade de trilha de auditoria completa.

  • Mínimo – Um pequeno conjunto de eventos que pode indicar possíveis ameaças. Esse conjunto não contém uma trilha de auditoria completa. Ele abrange apenas eventos que podem indicar uma violação bem-sucedida, e outros eventos importantes com taxas de ocorrência muito baixas. Por exemplo, ele contém logons de usuário bem-sucedidos e malsucedidos (IDs de evento 4624, 4625), mas não contém informações de desconexão (4634) que, embora importantes para auditoria, não são significativas para detecção de violação e têm um volume relativamente alto. A maior parte do volume de dados desse conjunto consiste em eventos de logon e eventos de criação de processo (ID de evento 4688).

  • Personalizado: um conjunto de eventos determinados por você, pelo usuário e definidos em uma regra de coleta de dados usando consultas XPath. Saiba mais sobre as regras de coleta de dados.

Referência de ID do evento

A lista a seguir fornece um detalhamento completo das IDs de eventos de Segurança e do AppLocker para cada conjunto:

Conjunto de eventos IDs de eventos coletados
Mínimo 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222
Comum 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004

Próximas etapas

Neste documento, você aprendeu a filtrar a coleção de eventos de Windows no Microsoft Sentinel.