Поделиться через

Наборы событий безопасности Windows, которые могут быть отправлены в Microsoft Sentinel

При приеме событий безопасности с устройств Windows с помощью соединителя данных событий безопасности Windows (включая устаревшую версию), можно выбрать, какие события следует собирать из следующих наборов:

  • Все события — собирает полный, нефильтрованный набор событий из журнала событий безопасности Windows и каналов журнала событий AppLocker. Журнал безопасности (Windows Logs > Security в средстве просмотра событий) записывает события аудита, такие как входы в систему, использование привилегий и изменения политики. Журналы AppLocker (Application and Services Logs > Microsoft > Windows > AppLocker) охватывают политики выполнения и установки приложений. Этот набор не включает события из других журналов событий Windows, таких как приложение, система или настройка.

  • Стандартный – стандартный набор событий, используемых для аудита. В этот набор включен полный аудиторский след пользователя. Например, он содержит события как входа, так и выхода пользователя (идентификаторы событий 4624, 4634). Существуют также действия аудита, такие как изменение группы безопасности, операции Kerberos для ключевых контроллеров домена и другие типы событий, соответствующие обычным рекомендациям.

    Стандартный набор событий может содержать некоторые типы событий, которые не так распространены. Это связано с тем, что смысл стандартного набора заключается в уменьшении объема событий до такого уровня, с которым можно справиться, сохраняя при этом полный аудиторский след.

  • Минимальный – небольшой набор событий, которые могут указывать на потенциальные угрозы. Этот набор не содержит полный аудиторский след. Он охватывает только события, которые могут указывать на успешное нарушение безопасности и другие важные, но сравнительно редкие, события. Например, этот набор содержит данные об успешных и неудачных попытках входа пользователей в систему (идентификаторы событий 4624, 4625), но не содержит данных о выходе (4634), которые, хоть и важны для аудита, но не имеют смысла для обнаружения нарушений безопасности и имеют относительно большой объем. Большая часть объема данных этого набора состоит из событий входа в систему и событий создания процесса (идентификатор события 4688).

  • Пользовательский — набор событий, определяемых вами, пользователем, а также определенный в правиле сбора данных с использованием запросов XPath. Узнайте больше о правилах сбора данных.

Справочник по идентификатору события

В следующем списке представлена полная разбивка идентификаторов событий безопасности и блокировки приложений для каждого набора.

Набор событий Сбор идентификаторов событий
Минимальный 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222
Общий 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004

Следующие шаги

Из этого документа вы узнали, как отфильтровать коллекцию событий Windows в Microsoft Sentinel.

  • Last updated on