可以发送到 Microsoft Sentinel 的 Windows 安全事件
使用 Windows 安全事件数据连接器(包括旧版本)从 Windows 设备提取安全事件时,你可以从以下集合中选择要收集的事件:
所有事件 - 所有 Windows 安全事件和 AppLocker 事件。
通用 - 一组标准事件,用于审核目的。 此集中包含完整用户审核线索。 例如,它包含用户登录和用户注销事件(事件 ID 4624 和 4634)。 还有审核操作,如安全组更改、关键域控制器 Kerberos 操作以及符合公认最佳做法的其他事件类型。
通用事件集可能包含某些不太常见的事件类型。 这是因为通用集的主旨是将事件量减少到更易于管理的级别,同时仍保持完整审核线索功能。
最小 - 一小部分事件,可能指示潜在威胁。 此集不包含完整审核线索。 它仅涵盖可能指示成功违反的事件以及发生率非常低的其他重要事件。 例如,它包含成功和失败的用户登录(事件 ID 4624 和 4625),但不包含对审核很重要,而对违反检测毫无意义且数量相对较多的注销信息 (4634)。 此集的大多数数据量由登录事件和进程创建事件(事件 ID 4688)组成。
自定义 -由你自己确定、由用户确定以及使用 XPath 查询在数据收集规则中定义的一组事件。 详细了解数据收集规则。
事件 ID 引用
以下列表提供对每个集的安全和 App Locker 事件 ID 的完整细分:
| 事件集 | 收集的事件 ID |
|---|---|
| 最少 | 1102、4624、4625、4657、4663、4688、4700、4702、4719、4720、4722、4723、4724、4727、4728、4732、4735、4737、4739、4740、4754、4755、4756、4767、4799、4825、4946、4948、4956、5024、5033、8001、8002、8003、8004、8005、8006、8007、8222 |
| 通用 | 1、299、300、324、340、403、404、410、411、412、413、431、500、501、1100、1102、1107、1108、4608、4610、4611、4614、4622、4624、4625、4634、4647、4648、4649、4657、4661、4662、4663、4665、4666、4667、4688、4670、4672、4673、4674、4675、4689、4697、4700、4702、4704、4705、4716、4717、4718、4719、4720、4722、4723、4724、4725、4726、4727、4728、4729、4733、4732、4735、4737、4738、4739、4740、4742、4744、4745、4746、4750、4751、4752、4754、4755、4756、4757、4760、4761、4762、4764、4767、4768、4771、4774、4778、4779、4781、4793、4797、4798、4799、4800、4801、4802、4803、4825、4826、4870、4886、4887、4888、4893、4898、4902、4904、4905、4907、4931、4932、4933、4946、4948、4956、4985、5024、5033、5059、5136、5137、5140、5145、5632、6144、6145、6272、6273、6278、6416、6423、6424、8001、8002、8003、8004、8005、8006、8007、8222、26401、30004 |
后续步骤
本文档介绍了如何在 Microsoft Sentinel 筛选 Windows 事件集合。
- 详细了解收集 Windows 安全事件。
- 使用内置或自定义规则,开始通过 Microsoft Sentinel 检测威胁。