Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Kun käytät suojaustapahtumia Windows-laitteista Windowsin suojaus Events -tietoliittimen avulla (mukaan lukien vanha versio), voit valita, mitkä tapahtumat kerätään seuraavista joukoista:
Kaikki tapahtumat : kerää kaikki suodattamattomat tapahtumat Windowsin suojaus tapahtumalokista ja AppLockerin tapahtumalokikanavista. Suojauslokiin (
Windows Logs > SecurityTapahtumienvalvonta) tallennetaan valvontatapahtumat, kuten kirjautumiset, oikeuksien käyttö ja käytännön muutokset. AppLocker-lokit (Application and Services Logs > Microsoft > Windows > AppLocker) kattavat sovelluksen suoritus- ja asennuskäytännöt. Tämä joukko ei sisällä tapahtumia muista Windowsin tapahtumalokeista, kuten sovelluksesta, järjestelmästä tai asennuksesta.Yleinen – vakiotapahtumajoukko auditointitarkoituksiin. Tähän joukkoon sisältyy täydellinen käyttäjän kirjausketju. Se sisältää esimerkiksi sekä käyttäjän kirjautumis- että uloskirjautumistapahtumia (tapahtumatunnukset 4624, 4634). On myös valvontatoimintoja, kuten käyttöoikeusryhmän muutoksia, avaintoimialueen ohjauskoneen Kerberos-toimintoja ja muuntyyppisiä tapahtumia hyväksyttyjen parhaiden käytäntöjen mukaisesti.
Yleinen tapahtumajoukko voi sisältää joitain tapahtumatyyppejä, jotka eivät ole niin yleisiä. Tämä johtuu siitä, että yhteisen joukon ensisijaisena tavoitteena on vähentää tapahtumien määrää helpommin hallittavalle tasolle säilyttäen samalla täydet kirjausketjuominaisuudet.
Minimal – Pieni joukko tapahtumia, jotka saattavat ilmaista mahdollisia uhkia. Tämä joukko ei sisällä täydellistä kirjausketjua. Se kattaa vain tapahtumat, jotka saattavat osoittaa onnistuneen tietomurron, ja muita tärkeitä tapahtumia, joiden esiintymismäärät ovat erittäin alhaiset. Se sisältää esimerkiksi onnistuneita ja epäonnistuneita käyttäjien kirjautumisia (tapahtumatunnukset 4624, 4625), mutta se ei sisällä uloskirjautumistietoja (4634), jotka eivät valvonnan kannalta ole merkityksellisiä murron havaitsemisen kannalta ja joiden määrä on suhteellisen suuri. Suurin osa tämän joukon tietomäärästä koostuu kirjautumistapahtumista ja prosessin luontitapahtumista (tapahtumatunnus 4688).
Mukautettu – Joukko tapahtumia, jotka sinä ja käyttäjä määrität tiedonkeräyssäännössä XPath-kyselyjen avulla. Lue lisätietoja tiedonkeruusäännöistä.
Tapahtumatunnusviittaus
Seuraavassa luettelossa on kattava erittely kunkin joukon Security- ja App Locker -tapahtumatunnuksista:
| Tapahtumajoukko | Kerätyt tapahtumatunnukset |
|---|---|
| Minimaalinen | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Yhteinen | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Seuraavat vaiheet
Tässä asiakirjassa opit suodattamaan Windows-tapahtumien kokoelman Microsoft Sentinel.
- Lue lisätietoja Windowsin suojaustapahtumien keräämisestä.
- Aloita uhkien tunnistaminen Microsoft Sentinel avulla käyttämällä sisäisiä tai mukautettuja sääntöjä.