Windows-beveiligingsevenementsets die kunnen worden verzonden naar Microsoft Sentinel
Wanneer u beveiligingsgebeurtenissen op Windows-apparaten opneemt met behulp van de Windows-beveiliging Gebeurtenisgegevensconnector (inclusief de verouderde versie), kunt u kiezen uit welke gebeurtenissen u wilt verzamelen uit de volgende sets:
Alle gebeurtenissen : alle Windows-beveiliging en AppLocker-gebeurtenissen.
Algemeen : een standaardset gebeurtenissen voor controledoeleinden. Een volledige audittrail voor gebruikers is opgenomen in deze set. Het bevat bijvoorbeeld gebeurtenissen voor gebruikersaanmelding en afmelding van gebruikers (gebeurtenis-id's 4624, 4634). Er zijn ook controleacties zoals wijzigingen in beveiligingsgroepen, kerberos-bewerkingen van de sleuteldomeincontroller en andere soorten gebeurtenissen in overeenstemming met geaccepteerde aanbevolen procedures.
De algemene gebeurtenissenset kan enkele typen gebeurtenissen bevatten die niet zo gebruikelijk zijn. Dit komt doordat het belangrijkste punt van de algemene set is om het volume van gebeurtenissen te verminderen tot een beter beheerbaar niveau, terwijl de volledige audittrailmogelijkheid behouden blijft.
Minimaal : een kleine set gebeurtenissen die mogelijke bedreigingen kunnen aangeven. Deze set bevat geen volledig audittrail. Hierin worden alleen gebeurtenissen behandeld die kunnen duiden op een geslaagde schending en andere belangrijke gebeurtenissen met een zeer lage frequentie. Het bevat bijvoorbeeld geslaagde en mislukte aanmeldingen van gebruikers (gebeurtenis-id's 4624, 4625), maar bevat geen afmeldingsgegevens (4634) die, hoewel belangrijk voor controle, niet zinvol is voor de detectie van schendingen en relatief groot volume heeft. Het grootste deel van het gegevensvolume van deze set bestaat uit aanmeldingsgebeurtenissen en procesgebeurtenissen (gebeurtenis-id 4688).
Aangepast : een set gebeurtenissen die worden bepaald door u, de gebruiker en gedefinieerd in een regel voor gegevensverzameling met behulp van XPath-query's. Meer informatie over regels voor gegevensverzameling.
Naslaginformatie over gebeurtenis-id's
De volgende lijst bevat een volledige uitsplitsing van de beveiligings- en AppLocker-gebeurtenis-id's voor elke set:
| Gebeurtenisset | Verzamelde gebeurtenis-id's |
|---|---|
| Minimaal | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Algemeen | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Volgende stappen
In dit document hebt u geleerd hoe u de verzameling Windows-gebeurtenissen filtert in Microsoft Sentinel.
- Meer informatie over het verzamelen van Windows-beveiligingsevenementen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel met behulp van ingebouwde of aangepaste regels.
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor