Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När du matar in säkerhetshändelser från Windows-enheter med dataanslutningsappen Windows-säkerhet Händelser (inklusive den äldre versionen) kan du välja vilka händelser som ska samlas in bland följande uppsättningar:
Alla händelser – Samlar in den fullständiga, ofiltrerade uppsättningen händelser från Windows-säkerhet händelseloggen och AppLocker-händelseloggkanalerna. Säkerhetsloggen (
Windows Logs > Securityi Loggboken) registrerar granskningshändelser som inloggningar, behörighetsanvändning och principändringar. AppLocker-loggarna (Application and Services Logs > Microsoft > Windows > AppLocker) omfattar programkörnings- och installationsprinciper. Den här uppsättningen innehåller inte händelser från andra Windows-händelseloggar som Program, System eller Installation.Common – En standarduppsättning händelser i granskningssyfte. En fullständig användargranskningslogg ingår i den här uppsättningen. Den innehåller till exempel både användarinloggnings- och användarinloggningshändelser (händelse-ID 4624, 4634). Det finns även granskningsåtgärder som ändringar i säkerhetsgrupper, kerberos-åtgärder för nyckeldomänkontrollanter och andra typer av händelser i enlighet med godkända metodtips.
Common-händelseuppsättningen kan innehålla vissa typer av händelser som inte är så vanliga. Det beror på att huvudpunkten i den gemensamma uppsättningen är att minska antalet händelser till en mer hanterbar nivå, samtidigt som den fullständiga spårningsfunktionen bibehålls.
Minimal – en liten uppsättning händelser som kan tyda på potentiella hot. Den här uppsättningen innehåller inte en fullständig spårningslogg. Den omfattar endast händelser som kan tyda på ett lyckat intrång och andra viktiga händelser som har mycket låg förekomstfrekvens. Den innehåller till exempel lyckade och misslyckade användarinloggningar (händelse-ID:t 4624, 4625), men den innehåller inte utloggningsinformation (4634), vilket, även om det är viktigt för granskning, inte är meningsfullt för identifiering av intrång och har relativt hög volym. Merparten av datavolymen i den här uppsättningen består av inloggningshändelser och processskapandehändelser (händelse-ID 4688).
Anpassad – en uppsättning händelser som bestäms av dig, användaren och definieras i en datainsamlingsregel med hjälp av XPath-frågor. Läs mer om regler för datainsamling.
Händelse-ID-referens
Följande lista innehåller en fullständig uppdelning av händelse-ID:t för säkerhet och appskåp för varje uppsättning:
| Händelseuppsättning | Insamlade händelse-ID:t |
|---|---|
| Minimal | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| Gemensamma | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Nästa steg
I det här dokumentet har du lärt dig hur du filtrerar samlingen av Windows-händelser i Microsoft Sentinel.
- Läs mer om att samla in Windows-säkerhetshändelser.
- Kom igång med att identifiera hot med Microsoft Sentinel med hjälp av inbyggda eller anpassade regler.