Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si inseriiscono eventi di sicurezza da dispositivi Windows usando il connettore dati eventi Sicurezza di Windows (inclusa la versione legacy), è possibile scegliere gli eventi da raccogliere tra i set seguenti:
Tutti gli eventi: raccoglie il set completo e non filtrato di eventi dal registro eventi Sicurezza di Windows e dai canali del log eventi di AppLocker. Il log di sicurezza (
Windows Logs > Securityin Visualizzatore eventi) registra eventi di controllo, ad esempio accessi, uso dei privilegi e modifiche ai criteri. I log di AppLocker (Application and Services Logs > Microsoft > Windows > AppLocker) coprono i criteri di esecuzione e installazione dell'applicazione. Questo set non include eventi di altri log eventi di Windows, ad esempio Applicazione, Sistema o Installazione.Comune : set standard di eventi a scopo di controllo. In questo set è incluso un audit trail utente completo. Ad esempio, contiene sia gli eventi di accesso utente che di disconnessione dell'utente (ID evento 4624, 4634). Sono inoltre disponibili azioni di controllo, ad esempio modifiche ai gruppi di sicurezza, operazioni Kerberos del controller di dominio chiave e altri tipi di eventi in linea con le procedure consigliate accettate.
Il set di eventi Common può contenere alcuni tipi di eventi non così comuni. Questo perché il punto principale del set Common consiste nel ridurre il volume degli eventi a un livello più gestibile, mantenendo al tempo stesso la funzionalità completa di audit trail.
Minimo : un piccolo set di eventi che potrebbero indicare potenziali minacce. Questo set non contiene un audit trail completo. Vengono illustrati solo gli eventi che potrebbero indicare una violazione riuscita e altri eventi importanti con tassi di occorrenza molto bassi. Ad esempio, contiene accessi utente riusciti e non riusciti (ID evento 4624, 4625), ma non contiene informazioni di disconnessione (4634) che, sebbene importanti per il controllo, non sono significative per il rilevamento delle violazioni e hanno un volume relativamente elevato. La maggior parte del volume di dati di questo set è costituita da eventi di accesso ed eventi di creazione del processo (ID evento 4688).
Personalizzato : set di eventi determinati dall'utente e definiti in una regola di raccolta dati tramite query XPath. Altre informazioni sulle regole di raccolta dati.
Riferimento all'ID evento
L'elenco seguente fornisce una suddivisione completa degli ID evento security e App Locker per ogni set:
| Set di eventi | ID evento raccolti |
|---|---|
| Minima | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Comune | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Passaggi successivi
In questo documento si è appreso come filtrare la raccolta di eventi di Windows in Microsoft Sentinel.
- Altre informazioni sulla raccolta di eventi di sicurezza di Windows.
- Introduzione al rilevamento delle minacce con Microsoft Sentinel, usando regole predefinite o personalizzate.