Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Beim Erfassen von Sicherheitsereignissen von Windows-Geräten mithilfe des Windows-Sicherheit Events-Datenconnectors (einschließlich der Legacyversion) können Sie aus den folgenden Gruppen auswählen, welche Ereignisse erfasst werden sollen:
Alle Ereignisse: Erfasst den vollständigen, ungefilterten Satz von Ereignissen aus dem Windows-Sicherheit Ereignisprotokoll und den AppLocker-Ereignisprotokollkanälen. Das Sicherheitsprotokoll (
Windows Logs > Securityin Ereignisanzeige) zeichnet Überwachungsereignisse wie Anmeldungen, Berechtigungsverwendung und Richtlinienänderungen auf. Die AppLocker-Protokolle (Application and Services Logs > Microsoft > Windows > AppLocker) behandeln Anwendungsausführungs- und Installationsrichtlinien. Dieser Satz enthält keine Ereignisse aus anderen Windows-Ereignisprotokollen wie "Application", "System" oder "Setup".Allgemein : Ein Standardsatz von Ereignissen zu Überwachungszwecken. Dieser Satz enthält einen vollständigen Benutzerüberwachungspfad. Sie enthält beispielsweise sowohl Benutzeranmeldungs- als auch Benutzerabmeldungsereignisse (Ereignis-IDs 4624, 4634). Es gibt auch Überwachungsaktionen wie Änderungen an Sicherheitsgruppen, Wichtige Domänencontroller-Kerberos-Vorgänge und andere Arten von Ereignissen gemäß den akzeptierten bewährten Methoden.
Der Allgemeine Ereignissatz kann einige Arten von Ereignissen enthalten, die nicht so häufig sind. Dies liegt daran, dass der Hauptpunkt des Common-Satzes darin besteht, die Menge der Ereignisse auf eine besser verwaltbare Ebene zu reduzieren und gleichzeitig die vollständige Überwachungspfadfunktion beizubehalten.
Minimal : Eine kleine Gruppe von Ereignissen, die auf potenzielle Bedrohungen hinweisen können. Dieser Satz enthält keinen vollständigen Überwachungspfad. Sie deckt nur Ereignisse ab, die auf eine erfolgreiche Sicherheitsverletzung hindeuten können, sowie andere wichtige Ereignisse, die sehr niedrige Häufigkeiten aufweisen. Beispielsweise enthält sie erfolgreiche und fehlgeschlagene Benutzeranmeldungen (Ereignis-IDs 4624, 4625), enthält jedoch keine Abmeldeinformationen (4634), die zwar für die Überwachung wichtig sind, aber für die Erkennung von Sicherheitsverletzungen nicht sinnvoll sind und ein relativ hohes Volumen aufweisen. Der Größte Teil des Datenvolumens dieses Satzes besteht aus Anmeldeereignissen und Prozesserstellungsereignissen (Ereignis-ID 4688).
Benutzerdefiniert : Eine Reihe von Ereignissen, die von Ihnen, dem Benutzer bestimmt und in einer Datensammlungsregel mithilfe von XPath-Abfragen definiert werden. Erfahren Sie mehr über Datensammlungsregeln.
Referenz zur Ereignis-ID
Die folgende Liste enthält eine vollständige Aufschlüsselung der Sicherheits- und App Locker-Ereignis-IDs für jede Gruppe:
| Ereignissatz | Gesammelte Ereignis-IDs |
|---|---|
| Wenig | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Standard | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie die Sammlung von Windows-Ereignissen in Microsoft Sentinel filtern.
- Erfahren Sie mehr über das Sammeln von Windows-Sicherheitsereignissen.
- Beginnen Sie mit der Erkennung von Bedrohungen mit Microsoft Sentinel mithilfe integrierter oder benutzerdefinierter Regeln.