Windows セキュリティ イベント データ コネクタ (レガシ バージョンを含む) を使用して Windows デバイスからセキュリティ イベントを取り込む場合は、次のセットの中から収集するイベントを選択できます。
すべてのイベント - Windows セキュリティ イベント ログと AppLocker イベント ログ チャネルから、フィルター処理されていないイベントの完全なセットを収集します。 セキュリティ ログ (イベント ビューアーの
Windows Logs > Security) には、ログオン、特権の使用、ポリシーの変更などの監査イベントが記録されます。 AppLocker ログ (Application and Services Logs > Microsoft > Windows > AppLocker) には、アプリケーションの実行ポリシーとインストール ポリシーが含まれます。 このセットには、アプリケーション、システム、セットアップなどの他の Windows イベント ログからのイベントは含 まれません 。一般的な - 監査目的のイベントの標準セット。 このセットには、完全なユーザー監査証跡が含まれています。 たとえば、ユーザー サインイン イベントとユーザー サインアウト イベント (イベント ID 4624、4634) の両方が含まれます。 セキュリティ グループの変更、キー ドメイン コントローラーの Kerberos 操作、その他の種類のイベントなどの監査アクションも、受け入れられたベスト プラクティスに沿って行われます。
Common イベント セットには、あまり一般的ではないいくつかの種類のイベントが含まれている場合があります。 これは、 共通 セットの主なポイントは、完全な監査証跡機能を維持しながら、イベントの量をより管理しやすいレベルに減らすことです。
最小 - 潜在的な脅威を示す可能性のあるイベントの小さなセット。 このセットには、完全な監査証跡は含まれていません。 これは、侵害が成功したことを示す可能性のあるイベントと、発生率が非常に低いその他の重要なイベントのみを対象としています。 たとえば、成功したユーザー ログオンと失敗したユーザー ログオン (イベント ID 4624、4625) が含まれていますが、サインアウト情報 (4634) は含まれていません。監査では重要ですが、侵害検出には意味はなく、ボリュームが比較的多くなります。 このセットのほとんどのデータ ボリュームは、サインイン イベントとプロセス作成イベント (イベント ID 4688) で構成されます。
カスタム - ユーザーによって決定され、XPath クエリを使用してデータ収集ルールで定義された一連のイベント。 データ収集ルールの詳細については、こちらをご覧ください。
イベント ID リファレンス
次の一覧では、各セットのセキュリティとアプリ ロッカーのイベント ID の完全な内訳を示します。
| イベント セット | 収集されたイベント ID |
|---|---|
| 最小限 | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| 共通 | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
次の手順
このドキュメントでは、Windows イベントのコレクションをフィルター処理してMicrosoft Sentinelする方法について説明しました。
- Windows セキュリティ イベントの収集について詳しくは、こちらをご覧ください。
- 組み込みルールまたはカスタム ルールを使用して、Microsoft Sentinelで脅威の検出を開始します。