Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Når du indtager sikkerhedshændelser fra Windows-enheder ved hjælp af dataconnectoren Windows Sikkerhed hændelser (herunder den ældre version), kan du vælge, hvilke hændelser der skal indsamles fra, blandt følgende sæt:
Alle hændelser – indsamler det fulde, ufiltrerede sæt hændelser fra Windows Sikkerhed hændelsesloggen og AppLocker-hændelseslogkanalerne. Sikkerhedsloggen (
Windows Logs > Securityi Logbog) registrerer overvågningshændelser, f.eks. logon, brug af rettigheder og politikændringer. AppLocker-logfilerne (Application and Services Logs > Microsoft > Windows > AppLocker) dækker kørsel af programmer og installationspolitikker. Dette sæt omfatter ikke hændelser fra andre Windows-hændelseslogge, f.eks. program, system eller installation.Common – Et standardsæt af hændelser til overvågning. Der er inkluderet et komplet brugerovervågningsspor i dette sæt. Den indeholder f.eks. både brugerlogon- og brugerlogonhændelser (hændelses-id'er 4624, 4634). Der er også overvågningshandlinger, f.eks. ændringer af sikkerhedsgrupper, Kerberos-handlinger for nøgledomænecontrollere og andre typer hændelser i overensstemmelse med de accepterede bedste fremgangsmåder.
Det almindelige hændelsessæt kan indeholde nogle typer hændelser, der ikke er så almindelige. Det skyldes, at det primære punkt i det fælles sæt er at reducere mængden af hændelser til et mere håndterbart niveau, samtidig med at du bevarer fuld funktionalitet til revisionsspor.
Minimal – Et lille sæt hændelser, der kan indikere potentielle trusler. Dette sæt indeholder ikke et komplet revisionsspor. Den dækker kun hændelser, der kan indikere et vellykket brud, og andre vigtige hændelser, der har meget lave forekomster. Den indeholder f.eks. vellykkede og mislykkede brugerlogon (hændelses-id'er 4624, 4625), men den indeholder ikke logonoplysninger (4634), som, selvom det er vigtigt for overvågning, ikke giver mening for registrering af brud og har en relativt stor mængde. De fleste af datamængden for dette sæt består af logonhændelser og procesoprettelseshændelser (hændelses-id 4688).
Brugerdefineret – Et sæt hændelser, der bestemmes af dig, brugeren og er defineret i en regel for dataindsamling ved hjælp af XPath-forespørgsler. Få mere at vide om regler for dataindsamling.
Hændelses-id-reference
Følgende liste indeholder en komplet oversigt over hændelses-id'erne for sikkerheds- og applåse for hvert sæt:
| Hændelsessæt | Indsamlede hændelses-id'er |
|---|---|
| Minimal | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Fælles | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Næste trin
I dette dokument har du lært, hvordan du filtrerer samlingen af Windows-hændelser i Microsoft Sentinel.
- Få mere at vide om indsamling af Windows-sikkerhedshændelser.
- Kom i gang med at registrere trusler med Microsoft Sentinel ved hjælp af indbyggede eller brugerdefinerede regler.