Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lors de l’ingestion d’événements de sécurité à partir d’appareils Windows à l’aide du connecteur de données Sécurité Windows Events (y compris la version héritée), vous pouvez choisir les événements à collecter parmi les ensembles suivants :
Tous les événements : collecte l’ensemble complet et non filtré d’événements à partir du journal des événements Sécurité Windows et des canaux du journal des événements AppLocker. Le journal de sécurité (
Windows Logs > Securitydans observateur d'événements) enregistre les événements d’audit tels que les ouvertures de session, l’utilisation des privilèges et les modifications de stratégie. Les journaux AppLocker (Application and Services Logs > Microsoft > Windows > AppLocker) couvrent les stratégies d’exécution et d’installation des applications. Cet ensemble n’inclut pas les événements d’autres journaux d’événements Windows, tels que l’application, le système ou le programme d’installation.Common : ensemble standard d’événements à des fins d’audit. Une piste d’audit utilisateur complète est incluse dans cet ensemble. Par exemple, il contient à la fois des événements de connexion utilisateur et de déconnexion de l’utilisateur (ID d’événement 4624, 4634). Il existe également des actions d’audit telles que les modifications de groupe de sécurité, les opérations Kerberos du contrôleur de domaine clé et d’autres types d’événements conformément aux meilleures pratiques acceptées.
Le jeu d’événements Common peut contenir certains types d’événements qui ne sont pas si courants. Cela est dû au fait que l’objectif principal de l’ensemble Commun est de réduire le volume d’événements à un niveau plus gérable, tout en conservant toute la fonctionnalité de piste d’audit.
Minimal : petit ensemble d’événements susceptibles d’indiquer des menaces potentielles. Cet ensemble ne contient pas de piste d’audit complète. Il couvre uniquement les événements susceptibles d’indiquer une violation réussie, ainsi que d’autres événements importants qui ont des taux d’occurrence très faibles. Par exemple, il contient des ouvertures de session utilisateur réussies et ayant échoué (ID d’événement 4624, 4625), mais elle ne contient pas d’informations de déconnexion (4634) qui, bien qu’importantes pour l’audit, ne sont pas significatives pour la détection des violations et ont un volume relativement élevé. La majeure partie du volume de données de cet ensemble se compose d’événements de connexion et d’événements de création de processus (ID d’événement 4688).
Personnalisé : ensemble d’événements déterminés par vous, l’utilisateur et définis dans une règle de collecte de données à l’aide de requêtes XPath. En savoir plus sur les règles de collecte de données.
Informations de référence sur l’ID d’événement
La liste suivante fournit une répartition complète des ID d’événement Sécurité et App Locker pour chaque ensemble :
| Jeu d’événements | ID d’événement collectés |
|---|---|
| Minimales | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Courant | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Étapes suivantes
Dans ce document, vous avez appris à filtrer la collection d’événements Windows en Microsoft Sentinel.
- En savoir plus sur la collecte des événements de sécurité Windows.
- Commencez à détecter les menaces avec Microsoft Sentinel, à l’aide de règles intégrées ou personnalisées.