可傳送至 Sentinel Microsoft的 Windows 安全性事件集
使用 Windows 安全性 Events 數據連接器從 Windows 裝置擷取安全性事件時,您可以選擇從下列集合中收集哪些事件:
所有事件 - 所有 Windows 安全性和 AppLocker 事件。
一般 - 用於稽核目的的標準事件集。 此集合包含完整的使用者稽核記錄。 例如,包含使用者登入和使用者登出事件 (事件識別碼為 4624、4634)。 也有如安全性群組變更、金鑰網域控制站 Kerberos 作業等稽核動作,以及符合公認最佳做法的其他類型事件。
Common 事件集可能包含一些不常見的事件類型。 這是因為 Common 集合的主要點是將事件量縮減為更容易管理層級,同時仍維持完整的稽核記錄功能。
最小 - 一組可能表示潛在威脅的事件。 此集合未包含完整的稽核記錄。 它只涵蓋可能表示成功外洩的事件,以及其他非常低發生率的重要事件。 例如,它包含成功和失敗的使用者登入(事件標識符 4624、4625),但不包含註銷資訊 (4634),雖然對稽核很重要,但對於缺口偵測而言並不有意義,而且具有相對大量的註銷資訊。 此集合的大部分數據量都包含登入事件和進程建立事件(事件標識碼 4688)。
自訂 - 由您使用 XPath 查詢在資料收集規則中定義的一組事件,由您、用戶決定。 深入了解數據收集規則。
事件標識碼參考
下列清單會針對每個集合提供安全性和應用程式保險箱事件識別碼的完整明細:
| 事件集 | 收集的事件識別碼 |
|---|---|
| 最少 | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| 通用 | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
下一步
在本檔中,您已瞭解如何將 Windows 事件的集合篩選成 sentinel Microsoft。
- 深入瞭解 收集 Windows 安全性事件。
- 使用內建或自定義規則,開始使用 Microsoft Sentinel 偵測威脅。