可以傳送至 Microsoft Sentinel 的 Windows 安全性事件集合
使用 Windows 安全性事件資料連線器 (包括舊版),從 Windows 裝置擷取安全性事件時,您可以選擇要從下列集合收集哪些事件:
所有事件 - 所有 Windows 安全性與 AppLocker 事件。
常見事件 - 稽核用事件的標準集合。 此集合包含完整的使用者稽核記錄。 例如,包含使用者登入和使用者登出事件 (事件識別碼為 4624、4634)。 也有如安全性群組變更、金鑰網域控制站 Kerberos 作業等稽核動作,以及符合公認最佳做法的其他類型事件。
常見事件集合可能包含某些不常見的事件類型。 這是因為常見集合的重點是將事件數量降到更容易管理的等級,同時仍維持完整的稽核記錄功能。
最小事件 - 可能指示潛在威脅的小型事件集合。 此集合未包含完整的稽核記錄。 其僅涵蓋可能指示成功缺口的事件,以及較低發生率的其他重要事件。 例如,其包含成功和失敗的使用者登入 (事件識別碼 4624、4625),但不包含當對於稽核而言很重要時,對於缺口偵測而言沒有意義,而且數量相當多的登出資訊 (4634)。 這個集合的大部分資料量由登入事件和流程建立事件 (事件識別碼 4688) 組成。
自訂 - 由您 (使用者) 決定的一組事件,其會使用 XPath 查詢定義在資料收集規則中。 深入了解資料收集規則。
事件識別碼參考
下列清單為每個集合提供安全性和 App Locker 事件識別碼的完整明細:
| 事件集合 | 收集的事件識別碼 |
|---|---|
| 最低限度 | 1102、4624、4625、4657、4663、4688、4700、4702、4719、4720、4722、4723、4724、4727、4728、4732、4735、4737、4739、4740、4754、4755、4756、4767、4799、4825、4946、4948、4956、5024、5033、8001、8002、8003、8004、8005、8006、8007、8222 |
| 通用 | 1、299、300、324、340、403、404、410、411、412、413、431、500、501、1100、1102、1107、1108、4608、4610、4611、4614、4622、4624、4625、4634、4647、4648、4649、4657、4661、4662、4663、4665、4666、4667、4688、4670、4672、4673、4674、4675、4689、4697、4700、4702、4704、4705、4716、4717、4718、4719、4720、4722、4723、4724、4725、4726、4727、4728、4729、4733、4732、4735、4737、4738、4739、4740、4742、4744、4745、4746、4750、4751、4752、4754、4755、4756、4757、4760、4761、4762、4764、4767、4768、4771、4774、4778、4779、4781、4793、4797、4798、4799、4800、4801、4802、4803、4825、4826、4870、4886、4887、4888、4893、4898、4902、4904、4905、4907、4931、4932、4933、4946、4948、4956、4985、5024、5033、5059、5136、5137、5140、5145、5632、6144、6145、6272、6273、6278、6416、6423、6424、8001、8002、8003、8004、8005、8006、8007、8222、26401、30004 |
下一步
在本文件中,您已了解如何將 Windows事件的集合篩選至 Microsoft Sentinel。
- 深入了解收集 Windows 安全性事件。
- 使用內建或自訂規則搭配 Microsoft Sentinel 來開始偵測威脅。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: