Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Når du inntar sikkerhetshendelser fra Windows-enheter ved hjelp av datakoblingen Windows Sikkerhet Hendelser (inkludert den eldre versjonen), kan du velge hvilke hendelser du vil samle inn blant følgende sett:
Alle hendelser – samler inn det fullstendige, ufiltrerte settet med hendelser fra Windows Sikkerhet hendelsesloggen og loggkanalene for AppLocker-hendelser. Sikkerhetsloggen (
Windows Logs > Securityi Hendelsesliste) registrerer overvåkingshendelser som pålogginger, bruk av rettigheter og policyendringer. AppLocker-loggene (Application and Services Logs > Microsoft > Windows > AppLocker) dekker programkjøring og installasjonspolicyer. Dette settet inkluderer ikke hendelser fra andre Windows-hendelseslogger, for eksempel program, system eller installasjon.Vanlig – Et standardsett med hendelser for revisjonsformål. Et fullstendig overvåkingsspor for bruker er inkludert i dette settet. Den inneholder for eksempel både påloggings- og brukerpåloggingshendelser (hendelses-ID-er 4624, 4634). Det finnes også overvåkingshandlinger som sikkerhetsgruppeendringer, Kerberos-operasjoner for nøkkeldomenekontroller og andre typer hendelser i tråd med godtatte anbefalte fremgangsmåter.
Common-hendelsessettet kan inneholde noen typer hendelser som ikke er så vanlige. Dette er fordi hovedpunktet for Common-settet er å redusere volumet av hendelser til et mer håndterbart nivå, samtidig som full revisjonssporfunksjonalitet opprettholdes.
Minimal - Et lite sett med hendelser som kan indikere potensielle trusler. Dette settet inneholder ikke et fullstendig overvåkingsspor. Den dekker bare hendelser som kan indikere et vellykket brudd, og andre viktige hendelser som har svært lave forekomster. Den inneholder for eksempel vellykkede og mislykkede brukerpålogginger (hendelses-ID-er 4624, 4625), men den inneholder ikke påloggingsinformasjon (4634) som, selv om det er viktig for overvåking, ikke er meningsfylt for bruddregistrering og har relativt høyt volum. Mesteparten av datavolumet i dette settet består av påloggingshendelser og prosessopprettingshendelser (hendelses-ID 4688).
Egendefinert – Et sett med hendelser som bestemmes av deg, brukeren og definert i en regel for datainnsamling ved hjelp av XPath-spørringer. Mer informasjon om datainnsamlingsregler.
Hendelses-ID-referanse
Listen nedenfor gir en fullstendig oversikt over hendelses-ID-ene for sikkerhet og appskap for hvert sett:
| Hendelsessett | Innsamlede hendelses-ID-er |
|---|---|
| Minimal | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Vanlige | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Neste trinn
I dette dokumentet lærte du hvordan du filtrerer samlingen av Windows-hendelser til Microsoft Sentinel.
- Mer informasjon om innsamling av Windows-sikkerhetshendelser.
- Kom i gang med å oppdage trusler med Microsoft Sentinel, ved hjelp av innebygde eller egendefinerte regler.