Windows-beveiligings gebeurtenissets die kunnen worden verzonden naar Microsoft Sentinel
Wanneer u beveiligingsgebeurtenissen van Windows-apparaten opneemt met behulp van de gegevensconnector Windows-beveiliging Gebeurtenissen (inclusief de verouderde versie), kunt u kiezen welke gebeurtenissen u wilt verzamelen uit de volgende sets:
Alle gebeurtenissen : alle Windows-beveiligings- en AppLocker-gebeurtenissen.
Algemeen : een standaardset gebeurtenissen voor controledoeleinden. Een volledige audittrail voor gebruikers is opgenomen in deze set. Het bevat bijvoorbeeld zowel aanmeldings- als afmeldingsgebeurtenissen van gebruikers (gebeurtenis-id's 4624, 4634). Er zijn ook controleacties zoals wijzigingen in beveiligingsgroepen, belangrijke Kerberos-bewerkingen van domeincontrollers en andere typen gebeurtenissen in overeenstemming met de geaccepteerde best practices.
De algemene gebeurtenissenet kan bepaalde typen gebeurtenissen bevatten die niet zo vaak voorkomen. Dit komt omdat het belangrijkste punt van de algemene set is om het aantal gebeurtenissen te verminderen tot een beter beheersbaar niveau, terwijl de volledige audittrailcapaciteit behouden blijft.
Minimaal : een kleine set gebeurtenissen die mogelijk duiden op mogelijke bedreigingen. Deze set bevat geen volledige audittrail. Het heeft alleen betrekking op gebeurtenissen die kunnen wijzen op een geslaagde inbreuk en andere belangrijke gebeurtenissen met een zeer lage frequentie van optreden. Het bevat bijvoorbeeld geslaagde en mislukte gebruikersaanmeldingen (gebeurtenis-id's 4624, 4625), maar bevat geen afmeldingsgegevens (4634), die weliswaar belangrijk zijn voor controle, maar niet zinvol zijn voor het detecteren van inbreuken en relatief veel volume hebben. Het grootste deel van het gegevensvolume van deze set bestaat uit aanmeldingsgebeurtenissen en procesgebeurtenissen (gebeurtenis-id 4688).
Aangepast : een set gebeurtenissen die door u, de gebruiker, is bepaald en is gedefinieerd in een regel voor gegevensverzameling met behulp van XPath-query's. Meer informatie over regels voor gegevensverzameling.
Gebeurtenis-ID-Verwijzing
De volgende lijst bevat een volledige uitsplitsing van de beveiligings- en App Locker-gebeurtenis-id's voor elke set:
| Gebeurtenissenet | Verzamelde gebeurtenis-id's |
|---|---|
| Minimaal | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Algemeen | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Volgende stappen
In dit document hebt u geleerd hoe u de verzameling Windows-gebeurtenissen filtert in Microsoft Sentinel.
- Meer informatie over het verzamelen van Windows-beveiligingsevenementen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel, met behulp van ingebouwde of aangepaste regels.