Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Ao ingerir eventos de segurança de dispositivos Windows com o conector de dados eventos Segurança do Windows (incluindo a versão legada), pode escolher os eventos a recolher entre os seguintes conjuntos:
Todos os eventos – recolhe o conjunto completo e não filtrado de eventos do Segurança do Windows registo de eventos e dos canais de registo de eventos do AppLocker. O Registo de segurança (
Windows Logs > Securityno Visualizador de Eventos) regista eventos de auditoria, como inícios de sessão, utilização de privilégios e alterações de política. Os registos do AppLocker (Application and Services Logs > Microsoft > Windows > AppLocker) abrangem as políticas de execução e instalação de aplicações. Este conjunto não inclui eventos de outros registos de eventos do Windows, como Aplicação, Sistema ou Configuração.Comum – um conjunto padrão de eventos para fins de auditoria. Está incluído um registo de auditoria de utilizador completo neste conjunto. Por exemplo, contém eventos de início de sessão do utilizador e de fim de sessão do utilizador (IDs de evento 4624, 4634). Também existem ações de auditoria, como alterações de grupos de segurança, operações kerberos do controlador de domínio chave e outros tipos de eventos em conformidade com as melhores práticas aceites.
O conjunto de eventos Comuns pode conter alguns tipos de eventos que não são tão comuns. Isto deve-se ao facto de o principal ponto do conjunto Comum ser reduzir o volume de eventos para um nível mais gerível, mantendo a capacidade de registo de auditoria completa.
Mínimo – um pequeno conjunto de eventos que pode indicar potenciais ameaças. Este conjunto não contém um registo de auditoria completo. Abrange apenas eventos que possam indicar uma falha de segurança com êxito e outros eventos importantes que tenham taxas de ocorrência muito baixas. Por exemplo, contém inícios de sessão de utilizador com êxito e com falhas (IDs de evento 4624, 4625), mas não contém informações de fim de sessão (4634) que, embora importantes para a auditoria, não são significativas para a deteção de falhas e têm um volume relativamente elevado. A maioria do volume de dados deste conjunto consiste em eventos de início de sessão e eventos de criação de processos (ID do evento 4688).
Personalizado – um conjunto de eventos determinado por si, pelo utilizador e definido numa regra de recolha de dados com consultas XPath. Saiba mais sobre as regras de recolha de dados.
Referência do ID do Evento
A lista seguinte fornece uma discriminação completa dos IDs de eventos de Segurança e Cacifo de Aplicações para cada conjunto:
| Conjunto de eventos | IDs de eventos recolhidos |
|---|---|
| Mínimo | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Comum | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Passos seguintes
Neste documento, aprendeu a filtrar a coleção de eventos do Windows para Microsoft Sentinel.
- Saiba mais sobre como recolher eventos de segurança do Windows.
- Comece a detetar ameaças com Microsoft Sentinel, utilizando regras incorporadas ou personalizadas.