Dela via


Windows-säkerhetshändelseuppsättningar som kan skickas till Microsoft Sentinel

När du matar in säkerhetshändelser från Windows-enheter med hjälp av dataanslutningsappen Windows-säkerhet Händelser (inklusive den äldre versionen) kan du välja vilka händelser som ska samlas in bland följande uppsättningar:

  • Alla händelser – Alla Windows-säkerhets- och AppLocker-händelser.

  • Common – En standarduppsättning händelser för granskningsändamål. En fullständig spårningslogg för användare ingår i den här uppsättningen. Den innehåller till exempel både händelser för användarinloggning och utloggning av användare (händelse-ID:t 4624, 4634). Det finns också granskningsåtgärder som ändringar i säkerhetsgrupper, kerberos-åtgärder för nyckeldomänkontrollanter och andra typer av händelser i enlighet med god praxis.

    Common-händelseuppsättningen kan innehålla vissa typer av händelser som inte är så vanliga. Det beror på att huvudpunkten i Common-uppsättningen är att minska mängden händelser till en mer hanterbar nivå, samtidigt som du behåller fullständig spårningsspårningsfunktion.

  • Minimal – en liten uppsättning händelser som kan tyda på potentiella hot. Den här uppsättningen innehåller inte en fullständig spårningslogg. Den omfattar endast händelser som kan tyda på ett lyckat intrång och andra viktiga händelser som har mycket låg förekomstfrekvens. Den innehåller till exempel lyckade och misslyckade användarinloggningar (händelse-ID:t 4624, 4625), men den innehåller inte utloggningsinformation (4634) som, även om det är viktigt för granskning, inte är meningsfullt för identifiering av intrång och har relativt hög volym. Merparten av datavolymen i den här uppsättningen består av inloggningshändelser och processskapandehändelser (händelse-ID 4688).

  • Anpassad – En uppsättning händelser som bestäms av dig, användaren och definieras i en datainsamlingsregel med hjälp av XPath-frågor. Läs mer om regler för datainsamling.

Händelse-ID-referens

Följande lista innehåller en fullständig uppdelning av händelse-ID:na för säkerhet och appskåp för varje uppsättning:

Händelseuppsättning Insamlade händelse-ID:t
Minimal 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222
Gemensam 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004

Nästa steg

I det här dokumentet har du lärt dig hur du filtrerar samlingen med Windows-händelser i Microsoft Sentinel.