Kumpulan kejadian keamanan Windows yang dapat dikirim ke Microsoft Sentinel
Saat menyerap peristiwa keamanan dari perangkat Windows menggunakan konektor data Peristiwa Keamanan Windows (termasuk versi lama), Anda dapat memilih peristiwa yang akan dikumpulkan di antara set berikut:
Semua peristiwa - Semua keamanan Windows dan peristiwa AppLocker.
Umum - Set standar peristiwa untuk tujuan audit. Jejak audit pengguna lengkap disertakan dalam set ini. Misalnya, berisi peristiwa pengguna masuk dan pengguna keluar (ID peristiwa 4624, 4634). Ada juga tindakan audit seperti perubahan kelompok keamanan, operasi Kerberos pengontrol domain kunci, dan jenis peristiwa lain yang sejalan dengan praktik terbaik yang diterima.
Set peristiwa Umum mungkin berisi beberapa jenis peristiwa yang tidak begitu umum. Ini karena titik utama set Umum adalah untuk mengurangi volume peristiwa ke tingkat yang lebih mudah dikelola, dengan tetap mempertahankan kemampuan jejak audit penuh.
Minimal - Set kecil peristiwa yang mungkin menunjukkan potensi ancaman. Set ini tak memuat jejak audit penuh. Ini hanya mencakup peristiwa yang mungkin menunjukkan pelanggaran yang berhasil, dan peristiwa penting lainnya yang memiliki tingkat peristiwa yang sangat rendah. Misalnya, berisi masuk pengguna yang berhasil dan gagal (ID peristiwa 4624, 4625), tetapi tidak berisi informasi keluar (4634) yang meskipun penting untuk audit, tidak berarti untuk deteksi pelanggaran dan memiliki volume yang relatif tinggi. Sebagian besar volume data set ini terdiri dari peristiwa kredensial masuk dan pembuatan proses (ID peristiwa 4688).
Kustom - Serangkaian peristiwa yang ditentukan oleh Anda, pengguna, dan ditentukan dalam aturan pengumpulan data menggunakan kueri JalurX. Pelajari lebih lanjut tentang aturan pengumpulan data.
Referensi ID Peristiwa
Daftar berikut menyediakan perincian lengkap dari ID peristiwa Keamanan dan Penguncian Aplikasi untuk setiap set:
| Set peristiwa | ID peristiwa yang dikumpulkan |
|---|---|
| Minimal | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Umum | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Langkah berikutnya
Dalam dokumen ini, Anda mempelajari cara memfilter kumpulan kejadian Windows ke Microsoft Sentinel.
- Pelajari lebih lanjut tentang mengumpulkan peristiwa keamanan Windows.
- Mulai mendeteksi ancaman dengan Microsoft Sentinel, menggunakan aturan bawaan atau kustom.