Microsoft Sentinel'e gönderilebilen Windows güvenlik olay kümeleri
Windows Güvenliği Olayları veri bağlayıcısını (eski sürüm dahil) kullanarak Windows cihazlarından güvenlik olaylarını alırken, aşağıdaki kümelerden hangi olayların toplayacağını seçebilirsiniz:
Tüm olaylar - Tüm Windows güvenliği ve AppLocker olayları.
Ortak - Denetim amacıyla standart bir olay kümesi. Bu kümeye tam bir kullanıcı denetim kaydı eklenir. Örneğin, hem kullanıcı oturum açma hem de kullanıcı oturumu kapatma olaylarını (olay kimlikleri 4624, 4634) içerir. Ayrıca, kabul edilen en iyi yöntemlerle uyumlu olarak güvenlik grubu değişiklikleri, anahtar etki alanı denetleyicisi Kerberos işlemleri ve diğer olay türleri gibi denetim eylemleri de vardır.
Ortak olay kümesi çok yaygın olmayan bazı olay türleri içerebilir. Bunun nedeni Ortak kümesinin ana noktasının, tam denetim izi özelliğini korurken olay hacmini daha yönetilebilir bir düzeye düşürmek olmasıdır.
Minimal - Olası tehditleri gösterebilecek küçük bir olay kümesi. Bu küme tam denetim izi içermiyor. Yalnızca başarılı bir ihlale işaret eden olayları ve çok düşük oluşum oranlarına sahip diğer önemli olayları kapsar. Örneğin, başarılı ve başarısız kullanıcı oturum açmaları (olay kimlikleri 4624, 4625) içerir, ancak denetim için önemli olsa da ihlal algılama için anlamlı olmayan ve nispeten yüksek hacimli olan oturum kapatma bilgileri (4634) içermez. Bu kümenin veri hacminin çoğu oturum açma olaylarından ve işlem oluşturma olaylarından oluşur (olay kimliği 4688).
Özel - Siz, kullanıcı tarafından belirlenen ve XPath sorguları kullanılarak bir veri toplama kuralında tanımlanan olay kümesi. Veri toplama kuralları hakkında daha fazla bilgi edinin.
Olay Kimliği başvuru
Aşağıdaki liste, her küme için Güvenlik ve Uygulama Dolabı olay kimliklerinin tam dökümünü sağlar:
| Olay kümesi | Toplanan olay kimlikleri |
|---|---|
| En az | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Common | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Sonraki adımlar
Bu belgede, Windows olaylarının koleksiyonunu Microsoft Sentinel'e filtrelemeyi öğrendiniz.
- Windows güvenlik olaylarını toplama hakkında daha fazla bilgi edinin.
- Yerleşik veya özel kuralları kullanarak Microsoft Sentinel ile tehditleri algılamaya başlayın.