Apêndice L: Eventos a serem monitorados
A tabela a seguir lista eventos que você deve monitorar em seu ambiente, de acordo com as recomendações fornecidas em Monitorando o Active Directory em busca de sinais de comprometimento. Na tabela a seguir, a coluna "ID de evento do Windows atual" lista a ID do evento atual conforme implementado nas versões do Windows e do Windows Server que atualmente têm suporte base.
A coluna "ID de evento do Windows herdado" lista a ID de evento correspondente em versões herdadas do Windows, como computadores cliente que executam o Windows XP ou anterior e servidores que executam o Windows Server 2003 ou anterior. A coluna "Criticidade potencial" identifica se o evento deve ser considerado de baixa, média ou alta criticidade para detecção de ataques, e a coluna "Resumo do evento" fornece uma breve descrição do evento.
Uma criticidade em potencial Alta significa que uma ocorrência do evento deve ser investigada. Uma criticidade potencial Média ou Baixa significa que esses eventos deverão ser investigados apenas se ocorrerem inesperadamente ou em números que excedam de modo significativo a linha de base esperada em um período medido. Todas as organizações devem testar essas recomendações em seus ambientes antes de criar alertas que exijam respostas investigativas obrigatórias. Cada ambiente é diferente, e alguns dos eventos classificados com uma criticidade potencial Alta podem ocorrer devido a outros eventos inofensivos.
| ID de Evento Atual do Windows | ID de evento do Windows herdado | Criticidade Potencial | Resumo do Evento |
|---|---|---|---|
| 4618 | N/D | Alto | Ocorreu um padrão de evento de segurança monitorado. |
| 4649 | N/D | Alto | Um ataque de repetição foi detectado. Pode ser um falso positivo inofensivo devido a um erro de configuração incorreta. |
| 4719 | 612 | Alto | A política de auditoria do sistema foi alterada. |
| 4765 | N/D | Alto | O histórico do SID foi adicionado a uma conta. |
| 4766 | N/D | Alto | Uma tentativa de adicionar o histórico de SID a uma conta falhou. |
| 4794 | N/D | Alto | Foi feita uma tentativa de definir o Modo de Restauração dos Serviços de Diretório. |
| 4897 | 801 | Alto | Separação de função habilitada: |
| 4964 | N/D | Alto | Grupos especiais foram atribuídos a um novo logon. |
| 5124 | N/D | Alto | Uma configuração de segurança foi atualizada no Serviço de Respondente do OCSP |
| N/D | 550 | Média a Alta | Possível ataque de DoS (negação de serviço) |
| 1102 | 517 | Média a Alta | O log de auditoria foi limpo |
| 4621 | N/D | Médio | O administrador recuperou o sistema de CrashOnAuditFail. Os usuários que não forem administradores agora terão permissão para fazer logon. Algumas atividades auditáveis podem não ter sido registradas. |
| 4675 | N/D | Médio | As SIDs foram filtradas. |
| 4692 | N/D | Médio | Tentativa de backup da chave mestre de proteção de dados. |
| 4693 | N/D | Médio | Tentativa de recuperação da chave mestre de proteção de dados. |
| 4706 | 610 | Médio | Uma relação de confiança foi criada para um domínio. |
| 4713 | 617 | Médio | A política do Kerberos foi alterada. |
| 4714 | 618 | Médio | A política de recuperação de dados criptografados foi alterada. |
| 4715 | N/D | Médio | A política de auditoria (SACL) em um objeto foi alterada. |
| 4716 | 620 | Médio | Informações de domínio confiável foram modificadas. |
| 4724 | 628 | Médio | Foi feita uma tentativa de redefinir a senha de uma conta. |
| 4727 | 631 | Médio | Um grupo global habilitado para segurança foi criado. |
| 4735 | 639 | Médio | Um grupo local habilitado para segurança foi alterado. |
| 4737 | 641 | Médio | Um grupo global habilitado para segurança foi alterado. |
| 4739 | 643 | Médio | A política de domínio foi alterada. |
| 4754 | 658 | Médio | Um grupo universal habilitado para segurança foi criado. |
| 4755 | 659 | Médio | Um grupo universal habilitado para segurança foi alterado. |
| 4764 | 667 | Médio | Um grupo desabilitado para segurança foi excluído |
| 4764 | 668 | Médio | O tipo de um grupo foi alterado. |
| 4780 | 684 | Médio | A ACL foi definida em contas que são membros de grupos de administradores. |
| 4816 | N/D | Médio | O RPC detectou uma violação de integridade ao descriptografar uma mensagem de entrada. |
| 4865 | N/D | Médio | Uma entrada de informações de floresta confiável foi adicionada. |
| 4866 | N/D | Médio | Uma entrada de informações de floresta confiável foi removida. |
| 4867 | N/D | Médio | Uma entrada de informações de floresta confiável foi modificada. |
| 4868 | 772 | Médio | O gerenciador de certificados negou uma solicitação de certificado pendente. |
| 4870 | 774 | Médio | Serviços de Certificados revogaram um certificado. |
| 4882 | 786 | Médio | As permissões de segurança para Serviços de Certificados mudaram. |
| 4885 | 789 | Médio | O filtro de auditoria dos Serviços de Certificados mudou. |
| 4890 | 794 | Médio | As configurações do gerenciador de certificados para Serviços de Certificados mudaram. |
| 4892 | 796 | Médio | Uma propriedade dos Serviços de Certificados mudou. |
| 4896 | 800 | Médio | Uma ou mais linhas foram excluídas do banco de dados do certificado. |
| 4906 | N/D | Médio | O valor de CrashOnAuditFail foi alterado. |
| 4907 | N/D | Médio | As configurações de auditoria no objeto foram alteradas. |
| 4908 | N/D | Médio | Tabela de Logon de Grupos Especiais modificada. |
| 4912 | 807 | Médio | A Política de Auditoria por Usuário foi alterada. |
| 4960 | N/D | Médio | O IPsec descartou um pacote de entrada que falhou em uma verificação de integridade. Se esse problema persistir, ele poderá indicar um problema de rede ou que os pacotes estão sendo modificados em trânsito para este computador. Verifique se os pacotes enviados do computador remoto são iguais aos recebidos por este computador. Esse erro também pode indicar problemas de interoperabilidade com outras implementações IPsec. |
| 4961 | N/D | Médio | O IPsec descartou um pacote de entrada que falhou em uma verificação de reprodução. Se esse problema persistir, poderá indicar um ataque de reprodução contra este computador. |
| 4962 | N/D | Médio | O IPsec descartou um pacote de entrada que falhou em uma verificação de reprodução. O pacote de entrada tinha um número de sequência muito baixo para garantir que não fosse uma reprodução. |
| 4963 | N/D | Médio | O IPsec descartou um pacote de texto de limpeza de entrada que deveria ter sido protegido. Isso geralmente ocorre devido ao computador remoto alterar sua política IPsec sem informar o computador. Também pode ser uma tentativa de ataque de falsificação. |
| 4965 | N/D | Médio | O IPsec recebeu um pacote de um computador remoto com um SPI (Índice de Parâmetro de Segurança) incorreto. Geralmente é causado por hardware com defeito que está corrompendo pacotes. Se esses erros persistirem, verifique se os pacotes enviados do computador remoto são iguais aos recebidos por este computador. Também pode indicar problemas de interoperabilidade com outras implementações IPsec. Nesse caso, se a conectividade não for impedida, esses eventos poderão ser ignorados. |
| 4976 | N/D | Médio | Durante a negociação no Modo Principal, o IPsec recebeu um pacote de negociação inválido. Se esse problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação. |
| 4977 | N/D | Médio | Durante a negociação no Modo Rápido, o IPsec recebeu um pacote de negociação inválido. Se esse problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação. |
| 4978 | N/D | Médio | Durante a negociação no Modo Estendido, o IPsec recebeu um pacote de negociação inválido. Se esse problema persistir, poderá indicar um problema de rede ou uma tentativa de modificar ou reproduzir essa negociação. |
| 4983 | N/D | Médio | Falha na negociação no Modo Estendido do IPsec. A associação de segurança correspondente do Modo Principal foi excluída. |
| 4984 | N/D | Médio | Falha na negociação no Modo Estendido do IPsec. A associação de segurança correspondente do Modo Principal foi excluída. |
| 5027 | N/D | Médio | O Serviço de Firewall do Windows não pôde recuperar a política de segurança do armazenamento local. O serviço continuará executando a diretiva atual. |
| 5028 | N/D | Médio | O Serviço do Firewall do Windows não conseguiu analisar a nova política de segurança. O serviço continuará com a diretiva atualmente executada. |
| 5029 | N/D | Médio | O Serviço de Firewall do Windows não pôde inicializar o driver. O serviço continuará executando a diretiva atual. |
| 5030 | N/D | Médio | Não foi possível iniciar o Serviço do Firewall do Windows. |
| 5035 | N/D | Médio | Não foi possível iniciar o Driver do Firewall do Windows. |
| 5037 | N/D | Médio | O Driver do Firewall do Windows detectou um erro crítico de tempo de execução. Terminação. |
| 5038 | N/D | Médio | A integridade do código determinou que o hash da imagem de um arquivo não é válido. O arquivo pode estar corrompido devido a uma modificação não autorizada ou o hash inválido pode indicar um possível erro de dispositivo de disco. |
| 5120 | N/D | Médio | Serviço Respondente OCSP Iniciado |
| 5121 | N/D | Médio | Serviço Respondente OCSP Interrompido |
| 5122 | N/D | Médio | Uma entrada de configuração alterada no Serviço de Respondente OCSP |
| 5123 | N/D | Médio | Uma entrada de configuração alterada no Serviço de Respondente OCSP |
| 5376 | N/D | Médio | O backup das credenciais do Gerenciador de Credenciais foi feito. |
| 5377 | N/D | Médio | As credenciais do Gerenciador de Credenciais foram restauradas de um backup. |
| 5453 | N/D | Médio | Uma negociação IPsec com um computador remoto falhou porque o serviço IKEEXT (IKE and AuthIP IPsec Keying Modules) não foi iniciado. |
| 5480 | N/D | Médio | Falha nos Serviços IPsec ao obter a lista completa de interfaces de rede no computador. Representa um risco potencial de segurança porque algumas das interfaces de rede podem não obter a proteção fornecida pelos filtros IPsec aplicados. Use o snap-in do Monitor de Segurança IP para diagnosticar o problema. |
| 5483 | N/D | Médio | Falha nos Serviços IPsec ao inicializar o servidor RPC. Os Serviços IPsec não puderam ser iniciados. |
| 5484 | N/D | Médio | Os Serviços IPsec sofreram uma falha crítica e foram desligados. O desligamento dos Serviços IPsec pode colocar o computador em maior risco de ataque de rede ou expor o computador a possíveis riscos de segurança. |
| 5485 | N/D | Médio | Falha nos Serviços IPsec ao processar alguns filtros IPsec em um evento plug-and-play para interfaces de rede. Representa um risco potencial de segurança porque algumas das interfaces de rede podem não obter a proteção fornecida pelos filtros IPsec aplicados. Use o snap-in do Monitor de Segurança IP para diagnosticar o problema. |
| 5827 | N/D | Médio | O serviço Netlogon negou uma conexão de canal seguro do Netlogon vulnerável de uma conta de computador. |
| 5828 | N/D | Médio | O serviço Netlogon negou uma conexão de canal seguro do Netlogon vulnerável usando uma conta confiável. |
| 6145 | N/D | Médio | Um ou mais erros ocorreram durante o processamento da política de segurança nos objetos de Política de Grupo. |
| 6273 | N/D | Médio | O servidor de políticas de rede negou acesso a um usuário. |
| 6274 | N/D | Médio | O Servidor de Política de Rede descartou a solicitação de um usuário. |
| 6275 | N/D | Médio | O Servidor de Políticas de Rede descartou a solicitação de contabilização de um usuário. |
| 6276 | N/D | Médio | O Servidor de Políticas de Rede colocou um usuário em quarentena. |
| 6277 | N/D | Médio | O Servidor de Políticas de Rede concedeu acesso a um usuário, mas o colocou em experiência porque o host não atendia à política de integridade definida. |
| 6278 | N/D | Médio | O Servidor de Políticas de Rede concedeu acesso completo a um usuário porque o host atendia à política de integridade definida. |
| 6279 | N/D | Médio | O Servidor de Políticas de Rede bloqueou a conta de usuário devido a repetidas tentativas de autenticação com falha. |
| 6280 | N/D | Médio | O Servidor de Políticas de Rede desbloqueou a conta de usuário. |
| - | 640 | Médio | Banco de dados de conta geral alterado |
| - | 619 | Médio | Política de Qualidade de Serviço alterada |
| 24586 | N/D | Médio | Ocorreu um erro ao converter o volume |
| 24592 | N/D | Médio | Falha ao tentar reiniciar automaticamente a conversão no volume %2. |
| 24593 | N/D | Médio | Gravação de metadados: volume %2 retornando erros ao tentar modificar metadados. Se as falhas continuarem, descriptografe o volume |
| 24594 | N/D | Médio | Recompilação de metadados: uma tentativa de gravar uma cópia de metadados no volume %2 falhou e pode aparecer como corrupção de disco. Se as falhas continuarem, descriptografe o volume. |
| 4608 | 512 | Baixo | O Windows está sendo inicializado. |
| 4609 | 513 | Baixo | O Windows está sendo desligado. |
| 4610 | 514 | Baixo | Um pacote de autenticação foi carregado pela autoridade de segurança local. |
| 4611 | 515 | Baixo | Um processo de logon confiável foi registrado com a autoridade de segurança local. |
| 4612 | 516 | Baixo | Os recursos internos alocados para a fila de mensagens de auditoria se esgotaram, provocando a perda de algumas auditorias. |
| 4614 | 518 | Baixo | Um pacote de notificação foi carregado pelo Gerenciador de Contas de Segurança. |
| 4615 | 519 | Baixo | Uso inválido da porta LPC. |
| 4616 | 520 | Baixo | A hora do sistema foi alterada. |
| 4622 | N/D | Baixo | Um pacote de segurança foi carregado pela autoridade de segurança local. |
| 4624 | 528,540 | Baixo | O logon de uma conta foi efetuado com êxito. |
| 4625 | 529-537,539 | Baixo | Falha no logon em uma conta. |
| 4634 | 538 | Baixo | Foi efetuado o logoff de uma conta. |
| 4646 | N/D | Baixo | O modo de prevenção contra DoS do IKE foi iniciado. |
| 4647 | 551 | Baixo | Logoff iniciado pelo usuário. |
| 4648 | 552 | Baixo | Ocorreu uma tentativa de logon usando credenciais explícitas. |
| 4650 | N/D | Baixo | Uma associação de segurança do Modo Principal do IPsec foi estabelecida. O Modo Estendido não foi habilitado. A autenticação de certificado não foi usada. |
| 4651 | N/D | Baixo | Uma associação de segurança do Modo Principal do IPsec foi estabelecida. O Modo Estendido não foi habilitado. Um certificado foi usado para autenticação. |
| 4652 | N/D | Baixo | Falha na negociação do Modo Principal do IPsec. |
| 4653 | N/D | Baixo | Falha na negociação do Modo Principal do IPsec. |
| 4654 | N/D | Baixo | Falha na negociação do Modo Rápido do IPsec. |
| 4655 | N/D | Baixo | Uma associação de segurança do Modo Principal do IPsec foi encerrada. |
| 4656 | 560 | Baixo | O identificador de um objeto foi solicitado. |
| 4657 | 567 | Baixo | Um valor do registro foi modificado. |
| 4658 | 562 | Baixo | O identificador de um objeto foi fechado. |
| 4659 | N/D | Baixo | O identificador de um objeto foi solicitado com a intenção de excluir. |
| 4660 | 564 | Baixo | Um objeto foi excluído. |
| 4661 | 565 | Baixo | O identificador de um objeto foi solicitado. |
| 4662 | 566 | Baixo | Uma operação foi executada em um objeto. |
| 4663 | 567 | Baixo | Foi feita uma tentativa de acessar um objeto. |
| 4664 | N/D | Baixo | Ocorreu a tentativa de criar um link físico. |
| 4665 | N/D | Baixo | Ocorreu uma tentativa de criar um contexto de cliente de aplicativo. |
| 4666 | N/D | Baixo | Um aplicativo tentou uma operação: |
| 4667 | N/D | Baixo | Um contexto de cliente do aplicativo foi excluído. |
| 4668 | N/D | Baixo | Um aplicativo foi inicializado. |
| 4670 | N/D | Baixo | As permissões de um objeto foram alteradas. |
| 4671 | N/D | Baixo | Um aplicativo tentou acessar um ordinal bloqueado através do TBS. |
| 4672 | 576 | Baixo | Privilégios especiais atribuídos a um novo logon. |
| 4673 | 577 | Baixo | Um serviço com privilégios foi chamado. |
| 4674 | 578 | Baixo | Uma operação foi tentada em um objeto com privilégios. |
| 4688 | 592 | Baixo | Um processo foi criado. |
| 4689 | 593 | Baixo | Um processo foi encerrado. |
| 4690 | 594 | Baixo | Ocorreu uma tentativa de duplicar o identificador de um objeto. |
| 4691 | 595 | Baixo | A acesso indireto a um objeto foi solicitado. |
| 4694 | N/D | Baixo | Ocorreu uma tentativa de proteção de dados protegidos auditáveis. |
| 4695 | N/D | Baixo | Ocorreu uma tentativa de desfazer a proteção de dados protegidos auditáveis. |
| 4696 | 600 | Baixo | Um token primário foi atribuído ao processo. |
| 4697 | 601 | Baixo | Tentativa de instalar um serviço |
| 4698 | 602 | Baixo | Uma tarefa agendada foi criada. |
| 4699 | 602 | Baixo | Uma tarefa agendada foi excluída. |
| 4700 | 602 | Baixo | Uma tarefa agendada foi habilitada. |
| 4701 | 602 | Baixo | Uma tarefa agendada foi desabilitada. |
| 4702 | 602 | Baixo | Uma tarefa agendada foi atualizada. |
| 4704 | 608 | Baixo | Um direito de usuário foi atribuído. |
| 4705 | 609 | Baixo | Um direito do usuário foi removido. |
| 4707 | 611 | Baixo | Uma relação de confiança com um domínio foi removida. |
| 4709 | N/D | Baixo | Os Serviços IPsec foram iniciados. |
| 4710 | N/D | Baixo | Os Serviços IPsec foram desabilitados. |
| 4711 | N/D | Baixo | Pode conter qualquer uma das seguintes opções: o Mecanismo PAStore aplicado à cópia armazenada no cache local da política IPsec de armazenamento do Active Directory no computador. O Mecanismo PAStore aplicou a política IPsec de armazenamento do Active Directory no computador. O Mecanismo PAStore aplicou a política IPsec de armazenamento do registro local no computador. O Mecanismo PAStore falhou ao aplicar a cópia armazenada no cache local da política IPsec de armazenamento do Active Directory no computador. O Mecanismo PAStore falhou ao aplicar a política IPsec de armazenamento do Active Directory no computador. O Mecanismo PAStore falhou ao aplicar a política IPsec de armazenamento do registro local no computador. O Mecanismo PAStore falhou ao aplicar algumas regras da política IPsec ativa no computador. O Mecanismo PAStore falhou ao carregar a política IPsec de armazenamento do diretório no computador. O Mecanismo PAStore carregou a política IPsec de armazenamento do diretório no computador. O Mecanismo PAStore falhou ao carregar a política IPsec de armazenamento local no computador. O Mecanismo PAStore carregou a política IPsec de armazenamento local no computador. O Mecanismo PAStore sondou alterações na política IPsec ativa e não detectou nenhuma alteração. |
| 4712 | N/D | Baixo | Os Serviços IPsec encontraram uma falha potencialmente grave. |
| 4717 | 621 | Baixo | O acesso de segurança ao sistema foi concedido a uma conta. |
| 4718 | 622 | Baixo | O acesso de segurança ao sistema foi removido de uma conta. |
| 4720 | 624 | Baixo | Uma conta de usuário foi criada. |
| 4722 | 626 | Baixo | Uma conta de usuário foi habilitada. |
| 4723 | 627 | Baixo | Foi feita uma tentativa de alterar a senha de uma conta. |
| 4725 | 629 | Baixo | Uma conta de usuário foi desabilitada. |
| 4726 | 630 | Baixo | Uma conta de usuário foi excluída. |
| 4728 | 632 | Baixo | Um membro foi adicionado a um grupo global habilitado para segurança. |
| 4729 | 633 | Baixo | Um membro foi removido de um grupo global habilitado para segurança. |
| 4730 | 634 | Baixo | Um grupo global habilitado para segurança foi excluído. |
| 4731 | 635 | Baixo | Um grupo local habilitado para segurança foi criado. |
| 4732 | 636 | Baixo | Um membro foi adicionado a um grupo global habilitado para segurança. |
| 4733 | 637 | Baixo | Um membro foi removido de um grupo global habilitado para segurança. |
| 4734 | 638 | Baixo | Um grupo local habilitado para segurança foi excluído. |
| 4738 | 642 | Baixo | Uma conta de usuário foi alterada. |
| 4740 | 644 | Baixo | Uma conta de usuário foi bloqueada. |
| 4741 | 645 | Baixo | Uma conta de computador foi alterada. |
| 4742 | 646 | Baixo | Uma conta de computador foi alterada. |
| 4743 | 647 | Baixo | Um conta de computador foi excluída. |
| 4744 | 648 | Baixo | Um grupo local desabilitado para segurança foi criado. |
| 4745 | 649 | Baixo | Um grupo local desabilitado para segurança foi alterado. |
| 4746 | 650 | Baixo | Um membro foi adicionado a um grupo global desabilitado para segurança. |
| 4747 | 651 | Baixo | Um membro foi removido de um grupo local desabilitado para segurança. |
| 4748 | 652 | Baixo | Um grupo local desabilitado para segurança foi excluído. |
| 4749 | 653 | Baixo | Um grupo global desabilitado para segurança foi criado. |
| 4750 | 654 | Baixo | Um grupo global desabilitado para segurança foi alterado. |
| 4751 | 655 | Baixo | Um membro foi adicionado a um grupo global desabilitado para segurança. |
| 4752 | 656 | Baixo | Um membro foi removido de um grupo global desabilitado para segurança. |
| 4753 | 657 | Baixo | Um grupo global desabilitado para segurança foi excluído. |
| 4756 | 660 | Baixo | Um membro foi adicionado a um grupo universal habilitado para segurança. |
| 4757 | 661 | Baixo | Um membro foi removido de um grupo universal habilitado para segurança. |
| 4758 | 662 | Baixo | Um grupo universal habilitado para segurança foi excluído. |
| 4759 | 663 | Baixo | Um grupo universal desabilitado para segurança foi criado. |
| 4760 | 664 | Baixo | Um grupo universal desabilitado para segurança foi alterado. |
| 4761 | 665 | Baixo | Um membro foi adicionado a um grupo universal desabilitado para segurança. |
| 4762 | 666 | Baixo | Um membro foi removido de um grupo universal desabilitado para segurança. |
| 4767 | 671 | Baixo | Uma conta de usuário foi desbloqueada. |
| 4768 | 672,676 | Baixo | Um TGT (tíquete de autenticação Kerberos) foi solicitado. |
| 4769 | 673 | Baixo | Um tíquete de serviço Kerberos foi solicitado. |
| 4770 | 674 | Baixo | Um tíquete de serviço Kerberos foi renovado. |
| 4771 | 675 | Baixo | Falha na pré-autenticação Kerberos. |
| 4772 | 672 | Baixo | Falha na solicitação do tíquete de autenticação Kerberos. |
| 4774 | 678 | Baixo | Uma conta foi mapeada para logon. |
| 4775 | 679 | Baixo | Não foi possível mapear uma conta para logon. |
| 4776 | 680,681 | Baixo | O controlador de domínio tentou validar as credenciais de uma conta. |
| 4777 | N/D | Baixo | O controlador de domínio falhou ao validar as credenciais de uma conta. |
| 4778 | 682 | Baixo | Uma sessão foi reconectada a uma Estação de Janela. |
| 4779 | 683 | Baixo | Uma sessão foi desconectada de uma Estação de Janela. |
| 4781 | 685 | Baixo | O nome de uma conta foi alterado: |
| 4782 | N/D | Baixo | O hash de senha de uma conta foi acessado. |
| 4783 | 667 | Baixo | Um grupo de aplicativos básico foi criado. |
| 4784 | N/D | Baixo | Um grupo de aplicativos básico foi alterado. |
| 4785 | 689 | Baixo | Um membro foi adicionado a um grupo de aplicativos básico. |
| 4786 | 690 | Baixo | Um membro foi removido de um grupo de aplicativos básico. |
| 4787 | 691 | Baixo | Um não membro foi adicionado a um grupo de aplicativos básico. |
| 4788 | 692 | Baixo | Um não membro foi removido de um grupo de aplicativos básico. |
| 4789 | 693 | Baixo | Um grupo de aplicativos básico foi excluído. |
| 4790 | 694 | Baixo | Um grupo de consultas LDAP foi criado. |
| 4793 | N/D | Baixo | A API de Verificação de Política de Senha foi chamada. |
| 4800 | N/D | Baixo | A estação de trabalho foi bloqueada. |
| 4801 | N/D | Baixo | A estação de trabalho foi desbloqueada. |
| 4802 | N/D | Baixo | A proteção de tela foi invocada. |
| 4803 | N/D | Baixo | A proteção de tela foi ignorada. |
| 4864 | N/D | Baixo | Foi detectada uma colisão de namespace. |
| 4869 | 773 | Baixo | Serviços de Certificados receberam uma solicitação de certificado reenviada. |
| 4871 | 775 | Baixo | Serviços de certificados receberam uma solicitação para publicar a CRL (lista de certificados revogados). |
| 4872 | 776 | Baixo | Serviços de certificados publicaram a CRL (lista de certificados revogados). |
| 4873 | 777 | Baixo | Uma extensão de solicitação de certificado foi alterada. |
| 4874 | 778 | Baixo | Um ou mais atributos de solicitação de certificado mudou. |
| 4875 | 779 | Baixo | Serviços de Certificados receberam uma solicitação para desligar. |
| 4876 | 780 | Baixo | Backup de Serviços de Certificado iniciado. |
| 4877 | 781 | Baixo | Backup de Serviços de Certificados concluído. |
| 4878 | 782 | Baixo | Restauração de Serviços de Certificado iniciado. |
| 4879 | 783 | Baixo | Restauração de Serviços de Certificados concluída. |
| 4880 | 784 | Baixo | Serviços de Certificados iniciados. |
| 4881 | 785 | Baixo | Serviços de Certificados interrompidos. |
| 4883 | 787 | Baixo | Serviços de Certificados recuperaram uma chave arquivada. |
| 4884 | 788 | Baixo | Serviços de Certificados importaram um certificado para o banco de dados. |
| 4886 | 790 | Baixo | Serviços de certificados receberam uma solicitação de certificado. |
| 4887 | 791 | Baixo | Serviços de certificados aprovaram uma solicitação de certificado e emitiram um certificado. |
| 4888 | 792 | Baixo | Os Serviços de Certificados negaram uma solicitação de certificado. |
| 4889 | 793 | Baixo | Os Serviços de Certificados definiram o status de solicitação de certificado para pendente. |
| 4891 | 795 | Baixo | Uma entrada de configuração mudou nos Serviços de Certificados. |
| 4893 | 797 | Baixo | Os Serviços de Certificados arquivaram uma chave. |
| 4894 | 798 | Baixo | Os Serviços de Certificados importaram e arquivaram uma chave. |
| 4895 | 799 | Baixo | Os Serviços de Certificados publicaram o certificado de Autoridade de Certificação para o Active Directory Domain Services. |
| 4898 | 802 | Baixo | Os Serviços de Certificados carregaram um modelo. |
| 4902 | N/D | Baixo | A tabela de política de auditoria por usuário foi criada. |
| 4904 | N/D | Baixo | Foi feita uma tentativa de registrar uma fonte de evento de segurança. |
| 4905 | N/D | Baixo | Foi feita uma tentativa de cancelar o registro de uma fonte de evento de segurança. |
| 4909 | N/D | Baixo | As configurações da política local do TBS foram alteradas. |
| 4910 | N/D | Baixo | As configurações da Política de Grupo do TBS foram alteradas. |
| 4928 | N/D | Baixo | Foi estabelecido o contexto de nomenclatura da origem da réplica do Active Directory. |
| 4929 | N/D | Baixo | Foi removido o contexto de nomenclatura da origem da réplica do Active Directory. |
| 4930 | N/D | Baixo | Foi modificado o contexto de nomenclatura da origem da réplica do Active Directory. |
| 4931 | N/D | Baixo | Foi modificado o contexto de nomenclatura do destino da réplica do Active Directory. |
| 4932 | N/D | Baixo | Foi iniciada a sincronização de uma réplica de um contexto de nomenclatura do Active Directory. |
| 4933 | N/D | Baixo | Foi encerrada a sincronização de uma réplica de um contexto de nomenclatura do Active Directory. |
| 4934 | N/D | Baixo | Os atributos de um objeto do Active Directory foram replicados. |
| 4935 | N/D | Baixo | Início da falha de replicação. |
| 4936 | N/D | Baixo | Final da falha de replicação. |
| 4937 | N/D | Baixo | Um objeto remanescente foi removido de uma réplica. |
| 4944 | N/D | Baixo | A política a seguir estava ativa quando o Firewall do Windows iniciou. |
| 4945 | N/D | Baixo | Uma regra foi listada quando o Firewall do Windows foi iniciado. |
| 4946 | N/D | Baixo | Uma alteração foi feita na lista de exceções do Firewall do Windows. Uma regra foi adicionada. |
| 4947 | N/D | Baixo | Uma alteração foi feita na lista de exceções do Firewall do Windows. Uma regra foi modificada. |
| 4948 | N/D | Baixo | Uma alteração foi feita na lista de exceções do Firewall do Windows. Uma regra foi excluída. |
| 4949 | N/D | Baixo | As configurações do Firewall do Windows foram restauradas para os valores padrão. |
| 4950 | N/D | Baixo | Uma configuração do Firewall do Windows foi alterada. |
| 4951 | N/D | Baixo | Uma regra foi ignorada porque seu número de versão principal não foi reconhecido pelo Firewall do Windows. |
| 4952 | N/D | Baixo | Partes de uma regra foram ignoradas porque seu número de versão secundária não foi reconhecido pelo Firewall do Windows. As demais partes da regra serão executadas. |
| 4953 | N/D | Baixo | Uma regra foi ignorada pelo Firewall do Windows porque não foi possível analisar a regra. |
| 4954 | N/D | Baixo | As configurações de Política de Grupo do Firewall do Windows foram alteradas. Novas configurações foram aplicadas. |
| 4956 | N/D | Baixo | O Firewall do Windows alterou o perfil ativo. |
| 4957 | N/D | Baixo | O Firewall do Windows não aplicou a seguinte regra: |
| 4958 | N/D | Baixo | O Firewall do Windows não aplicou a seguinte regra porque ela se referia a itens que não estão configurados neste computador: |
| 4979 | N/D | Baixo | As associações de segurança do Modo Principal e do Modo Estendido do IPsec foram estabelecidas. |
| 4980 | N/D | Baixo | As associações de segurança do Modo Principal e do Modo Estendido do IPsec foram estabelecidas. |
| 4981 | N/D | Baixo | As associações de segurança do Modo Principal e do Modo Estendido do IPsec foram estabelecidas. |
| 4982 | N/D | Baixo | As associações de segurança do Modo Principal e do Modo Estendido do IPsec foram estabelecidas. |
| 4985 | N/D | Baixo | O estado de uma transação mudou. |
| 5024 | N/D | Baixo | O Serviço do Firewall do Windows foi iniciado com sucesso. |
| 5025 | N/D | Baixo | O Serviço do Firewall do Windows foi interrompido. |
| 5031 | N/D | Baixo | O Serviço do Firewall do Windows impediu um aplicativo de aceitar conexões recebidas na rede. |
| 5032 | N/D | Baixo | O Firewall do Windows não pôde notificar o usuário de que impediu um aplicativo de aceitar conexões recebidas na rede. |
| 5033 | N/D | Baixo | O Driver do Firewall do Windows foi iniciado com sucesso. |
| 5034 | N/D | Baixo | O Driver do Firewall do Windows foi interrompido. |
| 5039 | N/D | Baixo | Uma chave de registro foi virtualizada. |
| 5040 | N/D | Baixo | Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Autenticação foi adicionado. |
| 5041 | N/D | Baixo | Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Autenticação foi modificado. |
| 5042 | N/D | Baixo | Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Autenticação foi excluído. |
| 5043 | N/D | Baixo | Foi feita uma alteração nas configurações de IPsec. Uma Regra de Segurança de Conexão foi adicionada. |
| 5044 | N/D | Baixo | Foi feita uma alteração nas configurações de IPsec. Uma Regra de Segurança de Conexão foi modificada. |
| 5045 | N/D | Baixo | Foi feita uma alteração nas configurações de IPsec. Uma Regra de Segurança de Conexão foi excluída. |
| 5046 | N/D | Baixo | Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Criptografia foi adicionado. |
| 5047 | N/D | Baixo | Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Criptografia foi modificado. |
| 5048 | N/D | Baixo | Foi feita uma alteração nas configurações de IPsec. Um Conjunto de Criptografia foi excluído. |
| 5050 | N/D | Baixo | Uma tentativa de desabilitar programaticamente o Firewall do Windows usando uma chamada para InetFwProfile.FirewallEnabled(False) |
| 5051 | N/D | Baixo | Um arquivo foi virtualizado. |
| 5056 | N/D | Baixo | Um autoteste de criptografia foi executado. |
| 5057 | N/D | Baixo | Falha em uma operação de criptografia primitiva. |
| 5058 | N/D | Baixo | Operação de arquivo chave. |
| 5059 | N/D | Baixo | Operação de migração de chave. |
| 5060 | N/D | Baixo | Falha na operação de verificação. |
| 5061 | N/D | Baixo | Operação de criptografia. |
| 5062 | N/D | Baixo | Um autoteste de criptografia de modo kernel foi executado. |
| 5063 | N/D | Baixo | Foi tentada uma operação de provedor criptográfico. |
| 5064 | N/D | Baixo | Foi tentada uma operação de contexto criptográfico. |
| 5065 | N/D | Baixo | Foi tentada uma alteração de contexto criptográfico. |
| 5066 | N/D | Baixo | Foi tentada uma operação de função criptográfica. |
| 5067 | N/D | Baixo | Foi tentada uma alteração da função criptográfica. |
| 5068 | N/D | Baixo | Foi tentada uma operação do provedor de função criptográfica. |
| 5069 | N/D | Baixo | Foi tentada uma operação de propriedade de função criptográfica. |
| 5070 | N/D | Baixo | Foi tentada uma alteração da propriedade de função criptográfica. |
| 5125 | N/D | Baixo | Uma solicitação foi enviada ao Serviço de Respondente do OCSP |
| 5126 | N/D | Baixo | O Certificado de Autenticação foi atualizado automaticamente pelo Serviço de Respondente do OCSP |
| 5127 | N/D | Baixo | O Provedor de Revogação do OCSP atualizou com êxito as informações de revogação |
| 5136 | 566 | Baixo | Um objeto de serviço de diretório foi alterado. |
| 5137 | 566 | Baixo | Um objeto de serviço de diretório foi criado. |
| 5138 | N/D | Baixo | Um objeto de serviço de diretório teve a exclusão cancelada. |
| 5139 | N/D | Baixo | Um objeto de serviço de diretório foi movido. |
| 5140 | N/D | Baixo | Um objeto de compartilhamento de rede foi acessado. |
| 5141 | N/D | Baixo | Um objeto de serviço de diretório foi excluído. |
| 5152 | N/D | Baixo | A Plataforma de Filtragem do Windows bloqueou um pacote. |
| 5153 | N/D | Baixo | Um filtro mais restrito da Plataforma de Filtragem do Windows bloqueou um pacote. |
| 5154 | N/D | Baixo | A Plataforma de Filtragem do Windows permitiu que um aplicativo ou serviço escutasse conexões de entrada em uma porta. |
| 5155 | N/D | Baixo | A Plataforma de Filtragem do Windows impediu que um aplicativo ou serviço escutasse conexões de entrada em uma porta. |
| 5156 | N/D | Baixo | A Plataforma de Filtragem do Windows permitiu uma conexão. |
| 5157 | N/D | Baixo | A Plataforma de Filtragem do Windows bloqueou uma conexão. |
| 5158 | N/D | Baixo | A Plataforma de Filtragem do Windows permitiu uma associação a uma porta local. |
| 5159 | N/D | Baixo | A Plataforma de Filtragem do Windows bloqueou uma associação a uma porta local. |
| 5378 | N/D | Baixo | A delegação de credenciais solicitadas não foi permitida pela política. |
| 5440 | N/D | Baixo | O texto explicativo a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows era iniciado. |
| 5441 | N/D | Baixo | O filtro a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows era iniciado. |
| 5442 | N/D | Baixo | O provedor a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows era iniciado. |
| 5443 | N/D | Baixo | O contexto do provedor a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows era iniciado. |
| 5444 | N/D | Baixo | A subcamada a seguir estava presente quando o Mecanismo de Filtragem Base da Plataforma de Filtragem do Windows era iniciado. |
| 5446 | N/D | Baixo | Um texto explicativo da Plataforma de Filtragem do Windows foi alterado. |
| 5447 | N/D | Baixo | Um filtro da Plataforma de Filtragem do Windows foi alterado. |
| 5448 | N/D | Baixo | Um provedor da Plataforma de Filtragem do Windows foi alterado. |
| 5449 | N/D | Baixo | Um contexto de provedor da Plataforma de Filtragem do Windows foi alterado. |
| 5450 | N/D | Baixo | Uma subcamada da Plataforma de Filtragem do Windows foi alterado. |
| 5451 | N/D | Baixo | Uma associação de segurança do Modo Rápido do IPsec foi estabelecida. |
| 5452 | N/D | Baixo | Uma associação de segurança do Modo Rápido do IPsec foi encerrada. |
| 5456 | N/D | Baixo | O Mecanismo PAStore aplicou a política IPsec de armazenamento do Active Directory no computador. |
| 5457 | N/D | Baixo | O Mecanismo PAStore falhou ao aplicar a política IPsec de armazenamento do Active Directory no computador. |
| 5458 | N/D | Baixo | O Mecanismo PAStore aplicou a cópia armazenada no cache local da política IPsec de armazenamento do Active Directory no computador. |
| 5459 | N/D | Baixo | O Mecanismo PAStore falhou ao aplicar a cópia armazenada no cache local da política IPsec de armazenamento do Active Directory no computador. |
| 5460 | N/D | Baixo | O Mecanismo PAStore aplicou a política IPsec de armazenamento do registro local no computador. |
| 5461 | N/D | Baixo | O Mecanismo PAStore falhou ao aplicar a política IPsec de armazenamento do registro local no computador. |
| 5462 | N/D | Baixo | O Mecanismo PAStore falhou ao aplicar algumas regras da política IPsec ativa no computador. Use o snap-in do Monitor de Segurança IP para diagnosticar o problema. |
| 5463 | N/D | Baixo | O Mecanismo PAStore sondou alterações na política IPsec ativa e não detectou nenhuma alteração. |
| 5464 | N/D | Baixo | O Mecanismo PAStore sondou alterações na política IPsec ativa, detectou alterações e as aplicou aos Serviços IPsec. |
| 5465 | N/D | Baixo | O Mecanismo PAStore recebeu um controle para recarregamento forçado da política IPsec e processou o controle com êxito. |
| 5466 | N/D | Baixo | O Mecanismo PAStore pesquisou alterações na política IPsec do Active Directory, determinou que o Active Directory não pode ser acessado e usará a cópia armazenada em cache da política IPsec do Active Directory. Alterações feitas na política IPsec do Active Directory desde a última pesquisa não puderam ser aplicadas. |
| 5467 | N/D | Baixo | O Mecanismo PAStore sondou alterações na política IPsec do Active Directory, determinou que o Active Directory pode ser acessado e não encontrou nenhuma alteração na política. A cópia armazenada em cache da política IPsec do Active Directory não está mais sendo usada. |
| 5468 | N/D | Baixo | O Mecanismo PAStore sondou alterações na política IPsec do Active Directory, determinou que o Active Directory pode ser acessado, encontrou alterações na política e aplicou essas alterações. A cópia armazenada em cache da política IPsec do Active Directory não está mais sendo usada. |
| 5471 | N/D | Baixo | O Mecanismo PAStore carregou a política IPsec de armazenamento local no computador. |
| 5472 | N/D | Baixo | O Mecanismo PAStore falhou ao carregar a política IPsec de armazenamento local no computador. |
| 5473 | N/D | Baixo | O Mecanismo PAStore carregou a política IPsec de armazenamento do diretório no computador. |
| 5474 | N/D | Baixo | O Mecanismo PAStore falhou ao carregar a política IPsec de armazenamento do diretório no computador. |
| 5477 | N/D | Baixo | Falha do Mecanismo PAStore ao adicionar o filtro de modo rápido. |
| 5479 | N/D | Baixo | Os Serviços IPsec foram desligados com êxito. O desligamento dos Serviços IPsec pode colocar o computador em maior risco de ataque de rede ou expor o computador a possíveis riscos de segurança. |
| 5632 | N/D | Baixo | Foi feita uma solicitação para autenticar em uma rede sem fio. |
| 5633 | N/D | Baixo | Foi feita uma solicitação para autenticar em uma rede com fio. |
| 5712 | N/D | Baixo | Tentativa de RPC (chamada de procedimento remoto). |
| 5888 | N/D | Baixo | Um objeto no Catálogo COM+ foi modificado. |
| 5889 | N/D | Baixo | Um objeto foi excluído do Catálogo COM+. |
| 5890 | N/D | Baixo | Um objeto foi adicionado ao Catálogo COM+. |
| 6008 | N/D | Baixo | O desligamento anterior do sistema foi inesperado |
| 6144 | N/D | Baixo | A política de segurança nos objetos de Política de Grupo foi aplicada com êxito. |
| 6272 | N/D | Baixo | O Servidor de Políticas de Rede negou acesso a um usuário. |
| N/D | 561 | Baixo | O identificador de um objeto foi solicitado. |
| N/D | 563 | Baixo | Objeto aberto para exclusão |
| N/D | 625 | Baixo | Tipo de conta de usuário alterada |
| N/D | 613 | Baixo | Agente de política IPsec iniciado |
| N/D | 614 | Baixo | Agente de política IPsec desabilitado |
| N/D | 615 | Baixo | Agente de política IPsec |
| N/D | 616 | Baixo | O agente de política IPsec encontrou uma possível falha grave |
| 24577 | N/D | Baixo | Criptografia do volume iniciada |
| 24578 | N/D | Baixo | Criptografia do volume interrompida |
| 24579 | N/D | Baixo | Criptografia do volume concluída |
| 24580 | N/D | Baixo | Descriptografia do volume iniciada |
| 24581 | N/D | Baixo | Descriptografia do volume interrompida |
| 24582 | N/D | Baixo | Descriptografia do volume concluída |
| 24583 | N/D | Baixo | Thread de trabalho de conversão do volume iniciado |
| 24584 | N/D | Baixo | Thread de trabalho de conversão do volume interrompido temporariamente |
| 24588 | N/D | Baixo | A operação de conversão no volume %2 encontrou um erro de setor inválido. Valide os dados nesse volume |
| 24595 | N/D | Baixo | O volume %2 contém clusters inválidos. Esses clusters serão ignorados durante a conversão. |
| 24621 | N/D | Baixo | Verificação de estado inicial: transação de conversão de volume sem interrupção em %2. |
| 5049 | N/D | Baixo | Uma Associação de Segurança IPsec foi excluída. |
| 5478 | N/D | Baixo | Os Serviços IPsec foram iniciados com êxito. |
Observação
Consulte Eventos de auditoria de segurança do Windows para obter uma lista de diversas IDs de evento de segurança e os respectivos significados.
Execute wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true para obter uma listagem detalhada de todas as IDs de evento de segurança
Para obter mais informações sobre IDs de evento de segurança do Windows e seus significados, consulte o artigo de Suporte da Microsoft Configurações básicas de política de auditoria de segurança. Você também pode baixar Eventos de auditoria de segurança do Windows, que fornecem informações detalhadas de evento para os sistemas operacionais referenciados no formato de planilha.