Aracılığıyla paylaş

Microsoft Sentinel'e gönderilebilen Windows güvenlik olay kümeleri

  • Makale

Windows Güvenliği Olayları veri bağlayıcısını (eski sürüm dahil) kullanarak Windows cihazlarından güvenlik olaylarını alırken, aşağıdaki kümeler arasından hangi olayların toplayacağını seçebilirsiniz:

  • Tüm olaylar - Tüm Windows güvenliği ve AppLocker olayları.

  • Ortak - Denetim amacıyla standart bir olay kümesi. Bu kümeye tam kullanıcı denetim kaydı eklenir. Örneğin, hem kullanıcı oturum açma hem de kullanıcı oturumu kapatma olaylarını (olay kimlikleri 4624, 4634) içerir. Ayrıca, kabul edilen en iyi yöntemlerle uyumlu olarak güvenlik grubu değişiklikleri, anahtar etki alanı denetleyicisi Kerberos işlemleri ve diğer olay türleri gibi denetim eylemleri de vardır.

    Ortak olay kümesi, çok yaygın olmayan bazı olay türlerini içerebilir. Bunun nedeni Ortak kümesinin ana noktasının olay hacmini daha yönetilebilir bir düzeye düşürmesi ve tam denetim izine sahip olma özelliğine sahip olmasıdır.

  • En az : Olası tehditleri gösterebilecek küçük bir olay kümesi. Bu küme tam denetim izi içermiyor. Yalnızca başarılı bir ihlali gösterebilecek olayları ve çok düşük oluşum oranlarına sahip diğer önemli olayları kapsar. Örneğin, başarılı ve başarısız kullanıcı oturum açmaları (olay kimlikleri 4624, 4625) içerir, ancak denetim için önemli olsa da, ihlal algılama için anlamlı olmayan ve nispeten yüksek hacimli olan oturum kapatma bilgileri (4634) içermez. Bu kümenin veri hacminin çoğu oturum açma olaylarından ve işlem oluşturma olaylarından (olay kimliği 4688) oluşur.

  • Özel - Siz, kullanıcı tarafından belirlenen ve XPath sorguları kullanılarak bir veri toplama kuralında tanımlanan olay kümesi. Veri toplama kuralları hakkında daha fazla bilgi edinin.

Olay Kimliği başvurusu

Aşağıdaki liste, her küme için Güvenlik ve Uygulama Dolabı olay kimliklerinin tam dökümünü sağlar:

Olay kümesi Toplanan olay kimlikleri
En az 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222
Meydan 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004

Sonraki adımlar

Bu belgede, Windows olaylarının koleksiyonunu Microsoft Sentinel'e filtrelemeyi öğrendiniz.

  • Windows güvenlik olaylarını toplama hakkında daha fazla bilgi edinin.
  • Yerleşik veya özel kuralları kullanarak Microsoft Sentinel ile tehditleri algılamaya başlayın.