Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer u beveiligingsgebeurtenissen van Windows-apparaten opneemt met behulp van de Windows-beveiliging Gebeurtenisgegevensconnector (inclusief de verouderde versie), kunt u kiezen welke gebeurtenissen u wilt verzamelen uit de volgende sets:
Alle gebeurtenissen: verzamelt de volledige, niet-gefilterde set gebeurtenissen uit het Windows-beveiliging gebeurtenislogboek en de gebeurtenislogboekkanalen van AppLocker. In het beveiligingslogboek (
Windows Logs > Securityin Logboeken) worden controle-gebeurtenissen vastgelegd, zoals aanmeldingen, gebruik van bevoegdheden en beleidswijzigingen. De AppLocker-logboeken (Application and Services Logs > Microsoft > Windows > AppLocker) hebben betrekking op het uitvoerings- en installatiebeleid voor toepassingen. Deze set bevat geen gebeurtenissen uit andere Windows-gebeurtenislogboeken, zoals Toepassing, Systeem of Setup.Common : een standaardset gebeurtenissen voor controledoeleinden. Een volledige gebruikerscontroletrail is opgenomen in deze set. Het bevat bijvoorbeeld zowel aanmeldings- als afmeldingsgebeurtenissen van gebruikers (gebeurtenis-id's 4624, 4634). Er zijn ook controleacties, zoals wijzigingen in beveiligingsgroepen, Kerberos-bewerkingen van belangrijke domeincontrollers en andere typen gebeurtenissen in overeenstemming met geaccepteerde best practices.
De algemene gebeurtenisset kan bepaalde typen gebeurtenissen bevatten die niet zo vaak voorkomen. Dit komt omdat het belangrijkste punt van de Common-set is om het aantal gebeurtenissen te verminderen tot een beter beheersbaar niveau, terwijl de volledige controletrailcapaciteit behouden blijft.
Minimaal : een kleine set gebeurtenissen die kunnen duiden op potentiële bedreigingen. Deze set bevat geen volledige audittrail. Het behandelt alleen gebeurtenissen die kunnen duiden op een geslaagde inbreuk en andere belangrijke gebeurtenissen met een zeer laag aantal exemplaren. Het bevat bijvoorbeeld geslaagde en mislukte aanmeldingen van gebruikers (gebeurtenis-id's 4624, 4625), maar bevat geen afmeldingsgegevens (4634), die, hoewel belangrijk voor controle, niet zinvol is voor het detecteren van inbreuken en relatief veel volume heeft. Het grootste deel van het gegevensvolume van deze set bestaat uit aanmeldingsgebeurtenissen en procesgebeurtenissen (gebeurtenis-id 4688).
Aangepast : een set gebeurtenissen die door u, de gebruiker, is bepaald en is gedefinieerd in een regel voor gegevensverzameling met behulp van XPath-query's. Meer informatie over regels voor gegevensverzameling.
Verwijzing naar gebeurtenis-id
De volgende lijst bevat een volledige specificatie van de Security en App Locker-gebeurtenis-id's voor elke set:
| Gebeurtenisset | Verzamelde gebeurtenis-id's |
|---|---|
| Minimale | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Gemeenschappelijk | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Volgende stappen
In dit document hebt u geleerd hoe u de verzameling Windows-gebeurtenissen filtert in Microsoft Sentinel.
- Meer informatie over het verzamelen van Windows-beveiligingsevenementen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel, met behulp van ingebouwde of aangepaste regels.