Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Al ingerir eventos de seguridad de dispositivos Windows mediante el conector de datos de eventos de Seguridad de Windows (incluida la versión heredada), puede elegir de qué eventos recopilar entre los siguientes conjuntos:
Todos los eventos: recopila el conjunto completo y sin filtrar de los canales de registro de eventos de Seguridad de Windows y del registro de eventos de AppLocker. El registro de seguridad (
Windows Logs > Securityen Visor de eventos) registra eventos de auditoría, como inicios de sesión, uso de privilegios y cambios de directiva. Los registros de AppLocker (Application and Services Logs > Microsoft > Windows > AppLocker) cubren las directivas de instalación y ejecución de aplicaciones. Este conjunto no incluye eventos de otros registros de eventos de Windows, como Application, System o Setup.Común : un conjunto estándar de eventos con fines de auditoría. En este conjunto se incluye un seguimiento de auditoría de usuario completo. Por ejemplo, contiene eventos de inicio de sesión de usuario y de cierre de sesión de usuario (identificadores de evento 4624, 4634). También hay acciones de auditoría, como cambios en grupos de seguridad, operaciones kerberos de controlador de dominio clave y otros tipos de eventos en línea con los procedimientos recomendados aceptados.
El conjunto de eventos Common puede contener algunos tipos de eventos que no son tan comunes. Esto se debe a que el punto principal del conjunto común es reducir el volumen de eventos a un nivel más manejable, a la vez que se mantiene la funcionalidad de seguimiento de auditoría completa.
Mínimo : un pequeño conjunto de eventos que podrían indicar posibles amenazas. Este conjunto no contiene un seguimiento de auditoría completo. Abarca solo los eventos que podrían indicar una infracción correcta y otros eventos importantes que tienen tasas de repetición muy bajas. Por ejemplo, contiene inicios de sesión de usuario correctos y con errores (identificadores de evento 4624, 4625), pero no contiene información de cierre de sesión (4634) que, aunque es importante para la auditoría, no es significativa para la detección de infracciones y tiene un volumen relativamente alto. La mayor parte del volumen de datos de este conjunto consta de eventos de inicio de sesión y eventos de creación de procesos (id. de evento 4688).
Personalizado : conjunto de eventos determinados por usted, el usuario y definidos en una regla de recopilación de datos mediante consultas XPath. Obtenga más información sobre las reglas de recopilación de datos.
Referencia del identificador de evento
En la lista siguiente se proporciona un desglose completo de los identificadores de evento de Seguridad y App Locker para cada conjunto:
| Conjunto de eventos | Identificadores de evento recopilados |
|---|---|
| mínimo | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Común | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Pasos siguientes
En este documento, ha aprendido a filtrar la colección de eventos de Windows en Microsoft Sentinel.
- Obtenga más información sobre la recopilación de eventos de seguridad de Windows.
- Empiece a detectar amenazas con Microsoft Sentinel, mediante reglas integradas o personalizadas.