Microsoft Sentinel に送信できる Windows セキュリティ イベント セット

  • [アーティクル]

Windows セキュリティ イベント データ コネクタ (レガシー バージョンを含む) を使用して Windows デバイスからセキュリティ イベントを取り込む場合、収集するイベントを次のセットから選択できます。

  • すべてのイベント - すべての Windows セキュリティ イベントおよび AppLocker イベント。

  • 一般 - 監査の目的で使用する標準的なイベント セット。 このセットには、完全なユーザー監査証跡が含まれます。 たとえば、ユーザー サインインとユーザー サインアウトの両方のイベント (イベント ID 4624、4634) が含まれています。 また、セキュリティ グループの変更などの監査アクションや、ドメイン コントローラーの主要な Kerberos 操作、確立されているベスト プラクティスに沿った各種のイベントもあります。

    一般のイベント セットには、あまり一般的ではない種類のイベントも一部含まれている場合があります。 完全な監査証跡機能を保ちながらも、より扱いやすいレベルにまでイベントの量を減らすことが、一般セットの重要なポイントであるためです。

  • 最小 - 潜在的な脅威を示す可能性がある小さいイベント セット。 このセットには、完全な監査証跡は含まれません。 侵害が成功したことを示す可能性があるイベントなど、発生率がきわめて低い重要イベントのみが対象となります。 たとえば、ユーザーの成功したログオンと失敗したログオン (イベント ID 4624、4625) が含まれますが、監査には重要であっても侵害の検出には重要ではない、比較的ボリュームの大きいサインアウト情報 (4634) は含まれません。 このセットのデータ量のほとんどは、サインイン イベントとプロセス作成イベント (イベント ID 4688) から構成されます。

  • カスタム - ユーザーによって決定され、XPath クエリを使用したデータ収集ルールで定義されたイベントのセット。 データ収集ルールの詳細を確認します

イベント ID 参照

次の一覧は、各セットのすべてのセキュリティ イベント ID と AppLocker イベント ID を示します。

イベント セット 収集されるイベント ID
最小 1102、4624、4625、4657、4663、4688、4700、4702、4719、4720、4722、4723、4724、4727、4728、4732、4735、4737、4739、4740、4754、4755、4756、4767、4799、4825、4946、4948、4956、5024、5033、8001、8002、8003、8004、8005、8006、8007、8222
共通 1、299、300、324、340、403、404、410、411、412、413、431、500、501、1100、1102、1107、1108、4608、4610、4611、4614、4622、4624、4625、4634、4647、4648、4649、4657、4661、4662、4663、4665、4666、4667、4688、4670、4672、4673、4674、4675、4689、4697、4700、4702、4704、4705、4716、4717、4718、4719、4720、4722、4723、4724、4725、4726、4727、4728、4729、4733、4732、4735、4737、4738、4739、4740、4742、4744、4745、4746、4750、4751、4752、4754、4755、4756、4757、4760、4761、4762、4764、4767、4768、4771、4774、4778、4779、4781、4793、4797、4798、4799、4800、4801、4802、4803、4825、4826、4870、4886、4887、4888、4893、4898、4902、4904、4905、4907、4931、4932、4933、4946、4948、4956、4985、5024、5033、5059、5136、5137、5140、5145、5632、6144、6145、6272、6273、6278、6416、6423、6424、8001、8002、8003、8004、8005、8006、8007、8222、26401、30004

次のステップ

このドキュメントでは、Windows イベントのコレクションを Microsoft Sentinel にフィルター処理する方法について説明しました。