Set di eventi di sicurezza di Windows che possono essere inviati a Microsoft Sentinel
Quando si inseriscono eventi di sicurezza dai dispositivi Windows usando il connettore dati eventi Sicurezza di Windows (inclusa la versione legacy), è possibile scegliere gli eventi da raccogliere tra i set seguenti:
Tutti gli eventi: tutti gli eventi di sicurezza di Windows e AppLocker.
Comune : set standard di eventi a scopo di controllo. In questo set è incluso un audit trail completo degli eventi utente, ad esempio quelli relativi all'accesso e alla disconnessione (ID evento 4624 e 4634). Sono inoltre incluse azioni di controllo, ad esempio le modifiche ai gruppi di sicurezza, le principali operazioni Kerberos del controller di dominio e altri tipi di eventi in linea con le procedure consigliate accettate.
Il set di eventi Comuni può contenere alcuni tipi di eventi che non sono così comuni. Ciò è dovuto al fatto che il punto principale del set Comune consiste nel ridurre il volume di eventi a un livello più gestibile, mantenendo comunque la funzionalità di audit trail completa.
Minimo : un piccolo set di eventi che potrebbero indicare potenziali minacce. Questo set non contiene un audit trail completo. Vengono illustrati solo gli eventi che potrebbero indicare una violazione riuscita e altri eventi importanti con tassi di occorrenza molto bassi. Ad esempio, contiene accessi utente riusciti e non riusciti (ID evento 4624, 4625), ma non contiene informazioni di disconnessione (4634), che, sebbene importanti per il controllo, non è significativo per il rilevamento delle violazioni e ha un volume relativamente elevato. La maggior parte del volume di dati di questo set è costituita da eventi di accesso ed eventi di creazione di processi (ID evento 4688).
Personalizzato : set di eventi determinati dall'utente, dall'utente e definiti in una regola di raccolta dati tramite query XPath. Altre informazioni sulle regole di raccolta dati.
Riferimento all'ID evento
L'elenco seguente fornisce una suddivisione completa degli ID evento Security e App Locker per ogni set:
| Set di eventi | ID evento raccolti |
|---|---|
| Minima | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Common | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Passaggi successivi
In questo documento si è appreso come filtrare la raccolta di eventi di Windows in Microsoft Sentinel.
- Altre informazioni sulla raccolta di eventi di sicurezza di Windows.
- Introduzione al rilevamento delle minacce con Microsoft Sentinel, usando regole predefinite o personalizzate.