Windows مجموعات أحداث الأمان التي يمكن إرسالها إلى Microsoft Sentinel

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

عند استيعاب أحداث الأمان من الأجهزة Windows باستخدام موصل بيانات أمن Windows Events (بما في ذلك الإصدار القديم)، يمكنك اختيار الأحداث التي تريد جمعها من بين المجموعات التالية:

• جميع الأحداث - جميع Windows أحداث الأمان و AppLocker.

• شائع - مجموعة قياسية من الأحداث لأغراض التدقيق. يتم تضمين مسار تدقيق كامل للمستخدم في هذه المجموعة. على سبيل المثال، يحتوي على كل من تسجيل دخول المستخدم وأحداث تسجيل الخروج (معرفات الحدث 4624، 4634). هناك أيضًا إجراءات التدوين مثل تغييرات مجموعة الأمان، وحدة تحكم المجال الرئيسية عمليات Kerberos، وأنواع أخرى من الأحداث بما يتماشى مع أفضل الممارسات المقبولة.

  قد تحتوي مجموعة الأحداث الشائعة على بعض أنواع الأحداث غير الشائعة جدا. وذلك لأن النقطة الرئيسية في المجموعة المشتركة هي تقليل حجم الأحداث إلى مستوى أكثر قابلية للإدارة ، مع الحفاظ على القدرة الكاملة على تتبع التدقيق.

• الحد الأدنى - مجموعة صغيرة من الأحداث التي قد تشير إلى تهديدات محتملة. لا تحتوي هذه المجموعة على سجل تدقيق كامل. وهو يغطي فقط الأحداث التي قد تشير إلى خرق ناجح، وغيرها من الأحداث الهامة التي لها معدلات منخفضة جدا من الحدوث. على سبيل المثال، يحتوي على عمليات تسجيل دخول ناجحة وفاشلة للمستخدم (معرفات الأحداث 4624 و4625)، ولكنه لا يحتوي على معلومات تسجيل الخروج (4634) التي، على الرغم من أهميتها للتدقيق، ليست ذات مغزى للكشف عن الاختراق ولها حجم كبير نسبيا. يتكون معظم حجم بيانات هذه المجموعة من أحداث تسجيل الدخول وأحداث إنشاء العملية (معرف الحدث 4688).

• مخصص - مجموعة من الأحداث التي تحددها أنت والمستخدم وتحددها في قاعدة جمع البيانات باستخدام استعلامات XPath. مزيد من المعلومات حول قواعد جمع البيانات.

مرجع معرف الحدث

توفر القائمة التالية تفصيلا كاملا لمعرفات أحداث الأمان وApp Locker لكل مجموعة:

مجموعة الأحداث	معرفات الأحداث التي تم جمعها
الحد الأدنى	1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222
عام	1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004

الخطوات التالية

في هذا المستند، تعلمت كيفية تصفية مجموعة أحداث Windows إلى Microsoft Sentinel.

• تعرف على المزيد حول جمع أحداث الأمان Windows.
• ابدأ في اكتشاف التهديدات باستخدام Microsoft Sentinel، باستخدام قواعد مضمنة أو مخصصة .