Verwenden der Windows-Ereignisweiterleitung für die Angriffserkennung

Gilt für:

  • Windows 10
  • Windows Server

Hier erfahren Sie über ein Verfahren zum Sammeln von Ereignissen aus Geräten in Ihrer Organisation. In diesem Artikel werden Ereignisse im normalen Betrieb und bei Verdacht eines Eindringens aufgeführt.

Windows Event Forwarding (WEF) liest ein beliebiges operatives oder administratives Ereignisprotokoll auf einem Gerät in Ihrer Organisation und leitet die von Ihnen ausgewählten Ereignisse an einen Windows-Event-Collector-Server weiter.

Um dies zu erreichen, gibt es zwei unterschiedliche Abonnements, die auf Clientgeräten veröffentlicht werden – das Basisabonnement und das verdächtige Abonnement. Das Basisabonnement registriert alle Geräte in Ihrer Organisation, und ein verdächtiges Abonnement enthält nur Geräte, die von Ihnen hinzugefügt wurden. Das verdächtige Abonnement sammelt zusätzliche Ereignisse, die beim Erstellen des Kontexts für Systemaktivitäten helfen, und kann schnell aktualisiert werden, um neue Ereignisse und/oder Szenarien nach Bedarf aufzunehmen, ohne Auswirkungen auf geplante Vorgänge zu haben.

Mit dieser Implementierung kann unterschieden werden, wo Ereignisse letztendlich gespeichert werden. Baseline-Ereignisse können an Geräte mit Online Analysefunktionen wie Security Event Manager (SEM) gesendet werden, während auch Ereignisse an ein MapReduce-System wie HDInsight oder Hadoop für langfristige Speicherung und tiefere Analyse gesendet werden. Ereignisse aus dem verdächtigen Abonnement werden aufgrund des Lautstärke-und des niedrigeren Signal-Rausch-Verhältnisses direkt an ein MapReduce-System gesendet, Sie werden weitgehend für die forensische Analyse von Hosts verwendet.

Die Stärke von SEM liegt darin, Ereignisse zu überprüfen, zu korrelieren sowie Benachrichtigungen für bekannte Muster zu generieren und das Sicherheitspersonal bei der Maschinengeschwindigkeit zu benachrichtigen.

Ein MapReduce-System verfügt über eine längere Aufbewahrungszeit (Jahre versus Monate für ein SEM), eine größere Ingress-Fähigkeit (Hunderte von Terabytes pro Tag) und die Möglichkeit, komplexere Vorgänge auf Daten wie statistischer und Trendanalyse, Muster Clusteranalyse durchzuführen. oder wenden Sie maschinelle Lernalgorithmen an.

Im folgenden finden Sie eine ungefähre Skalierungs Anleitung für WEF-Ereignisse:

Ereignisse/zweiter Bereich Datenspeicher
0-5.000 SQL oder SEM
5.000-50.000 SEM
50000 + Hadoop/HDInsight/Data Lake

Die Ereignisgenerierung auf einem Gerät muss entweder separat oder als Teil des Gruppenrichtlinienobjekts für die grundlegende WEF-Implementierung aktiviert werden, einschließlich der Aktivierung deaktivierter Ereignisprotokolle und Festlegen von Kanal Berechtigungen. Weitere Informationen finden Sie unter Anhang C – Ereignis Kanaleinstellungen (Enable-und Channel-Access-Methoden). Dies liegt daran, dass WEF ein passives System im Hinblick auf das Ereignisprotokoll ist. Sie können die Größe von Ereignisprotokolldateien nicht ändern, deaktivierte Ereignis Kanäle aktivieren, Kanal Berechtigungen ändern oder eine Sicherheitsüberwachungsrichtlinie anpassen. WEF fragt nur Ereignis Kanäle für vorhandene Ereignisse ab. Darüber hinaus ermöglicht die Ereignisgenerierung, die bereits auf einem Gerät auftritt, eine vollständige Ereignissammlung, die einen vollständigen Verlauf der Systemaktivität erstellt. Andernfalls beschränken Sie sich auf die Geschwindigkeit der Aktualisierungszyklen von GPO-und WEF-Abonnements, um Änderungen an der auf dem Gerät generierten Funktion vorzunehmen. Auf modernen Geräten hat das Aktivieren zusätzlicher Ereignis Kanäle und das Erweitern der Größe von Ereignisprotokolldateien keine nennenswerten Leistungsunterschiede zur Folge.

Die empfohlene Mindestregelung für Überwachungsrichtlinien und Registrierungssystem-ACL-Einstellungen finden Sie im Anhang A – minimale empfohlene mindestüberwachungspolitik und Anhang B – empfohlene minimale Registrierungssystem-ACL-Richtlinie.

Hinweis: Dies sind nur Mindestwerte, die erforderlich sind, um die Auswahl des WEF-Abonnements zu erfüllen.

Aus der Perspektive des WEF-Abonnement Managements sollten die bereitgestellten Ereignis Abfragen in zwei separaten Abonnements zur Vereinfachung der Wartung verwendet werden. nur Computer, die bestimmte Kriterien erfüllen, können auf das zielabonnement zugreifen, dieser Zugriff würde durch einen Algorithmus oder eine Analytiker-Richtung bestimmt. Alle Geräte sollten Zugriff auf das Basisabonnement haben.

Das bedeutet, dass Sie zwei Basisabonnements erstellen würden:

  • Baseline-WEF-Abonnement. Ereignisse, die von allen Hosts erfasst werden, dazu gehören einige rollenspezifische Ereignisse, die nur von diesen Computern ausgegeben werden.
  • Gezieltes WEF-Abonnement. Ereignisse, die aufgrund ungewöhnlicher Aktivitäten und/oder höherer Bekanntheit für diese Systeme von einem bestimmten Satz von Hosts gesammelt wurden.

Jeweils mit der jeweiligen Ereignisabfrage unten. Beachten Sie, dass für das zielabonnement das Aktivieren der Option "vorhandene Ereignisse lesen" auf "true" festgelegt werden muss, um die Sammlung vorhandener Ereignisse aus Systemen zu ermöglichen. Standardmäßig werden WEF-Abonnements nur Ereignisse weiterleiten, die nach dem Erhalt des WEF-Abonnements vom Client generiert wurden.

In Anhang E – kommentierte Baseline-Abonnement-Ereignisabfrage und Anhang F – mit Anmerkungenversehene Ereignisabfrage für verdächtige Abonnements, wird beim Erstellen von WEF-Abonnements die XML-Ereignisabfrage eingeschlossen. Diese werden für Abfrage Zwecke und Klarheit kommentiert. Das <einzelne> Abfrageelement kann entfernt oder bearbeitet werden, ohne dass sich dies auf die restliche Abfrage auswirkt.

Allgemeine Fragen zu WEF

In diesem Abschnitt werden häufige Fragen von IT-Experten und Kunden behandelt.

Kann der Benutzer feststellen, ob sein Computer für WEF aktiviert ist oder ob WEF einen Fehler findet?

Die kurze Antwort lautet: Nein.

Die längere Antwort lautet: der Ereignis Kanal EventLog-forwardingPlugin/Operational protokolliert die Erfolgs-, Warnungs-und Fehlerereignisse in Bezug auf WEF-Abonnements, die auf dem Gerät vorhanden sind. Wenn der Benutzer die Ereignisanzeige nicht öffnet und zu diesem Kanal navigiert, wird das WEF weder über den Ressourcenverbrauch noch über die Popups der grafischen Benutzeroberfläche bemerkt. Auch wenn ein Problem mit dem WEF-Abonnement vorliegt, gibt es keine Benutzerinteraktion oder Leistungsverschlechterung. Alle Erfolgs-, Warnungs-und Fehlerereignisse werden in diesem Operational Event-Kanal protokolliert.

Ist WEF Push-oder Pull?

Ein WEF-Abonnement kann so konfiguriert werden, dass es Push-oder Pull-, aber nicht beides ist. Die einfachste, flexibelste IT-Bereitstellung mit der größten Skalierbarkeit kann mithilfe eines Push-oder Quell-initiierten Abonnements erreicht werden. WEF-Clients werden mithilfe eines GPO konfiguriert, und der integrierte Weiterleitungs Client wird aktiviert. Für Pull, Collector initiiert, ist das Abonnement auf dem Enduro-Server mit den Namen der WEF-Client Geräte vorkonfiguriert, aus denen Ereignisse ausgewählt werden sollen. Diese Clients müssen auch im Vorfeld konfiguriert werden, damit die im Abonnement verwendeten Anmeldeinformationen Remote auf Ihre Ereignisprotokolle zugreifen können (normalerweise durch Hinzufügen der Anmeldeinformationen zur integrierten lokalen Sicherheitsgruppe " Ereignisprotokollleser "). Ein nützliches Szenario: eine bestimmte Gruppe von Computern genau zu überwachen.

Wird WEF über VPN oder RAS arbeiten?

WEF verarbeitet VPN-, RAS-und DirectAccess-Szenarien gut und stellt eine erneute Verbindung her und sendet alle akkumulierten Ereignisse, wenn die Verbindung zum WEF-Collector wiederhergestellt wird.

Wie wird der Client Fortschritt verfolgt?

Der Enduro-Server verwaltet in seiner Registrierung die Lesezeicheninformationen und den letzten Heartbeat-Zeitpunkt für jede Ereignisquelle für jedes WEF-Abonnement. Wenn eine Ereignisquelle eine erneute Verbindung mit einem Enduro-Server herstellt, wird die letzte Position des Lesezeichens an das Gerät gesendet, um Sie als Ausgangspunkt für die Fortsetzung der Weiterleitung von Ereignissen zu verwenden. Wenn ein WEF-Client keine zu sendenden Ereignisse hat, wird der WEF-Client in regelmäßigen Abständen eine Verbindung herstellen, um einen Heartbeat an den Server zu senden, um anzuzeigen, dass er aktiv ist. Dieser Heartbeat-Wert kann für jedes Abonnement einzeln konfiguriert werden.

Funktioniert WEF in einer IPv4-, IPv6-oder Mixed-IPv4/IPv6-Umgebung?

Ja WEF ist Transport unabhängig und wird über IPv4 oder IPv6 funktionieren.

Sind WEF-Ereignisse verschlüsselt? Ich sehe eine HTTP/HTTPS-Option!

In einer Domäneneinstellung wird die zum Übertragen von WEF-Ereignissen verwendete Verbindung standardmäßig mithilfe von Kerberos verschlüsselt (mit NTLM als Fallback-Option, die mithilfe eines GPO deaktiviert werden kann). Die Verbindung kann nur vom WEF-Collector entschlüsselt werden. Darüber hinaus wird die Verbindung zwischen dem WEF-Client und dem Enduro-Server unabhängig vom Authentifizierungstyp (Kerberos oder NTLM) gegenseitig authentifiziert. Es gibt GPO-Optionen, mit denen die Authentifizierung nur zur Verwendung von Kerberos erzwungen werden kann.

Diese Authentifizierung und Verschlüsselung wird unabhängig davon durchgeführt, ob HTTP oder HTTPS ausgewählt ist.

Die HTTPS-Option steht zur Verfügung, wenn die zertifikatbasierte Authentifizierung verwendet wird, in Fällen, in denen die Kerberos-basierte gegenseitige Authentifizierung keine Option ist. Das SSL-Zertifikat und die bereitgestellten Clientzertifikate werden für die gegenseitige Authentifizierung verwendet.

Haben WEF-Clients einen separaten Puffer für Ereignisse?

Das lokale Ereignisprotokoll des WEF-Clientrechners ist der Puffer für WEF, wenn die Verbindung mit dem Enduro-Server verloren geht. Um die "Puffergröße" zu erhöhen, erhöhen Sie die maximale Dateigröße der jeweiligen Ereignisprotokolldatei, in der die Ereignisse ausgewählt werden. Weitere Informationen finden Sie in Anhang C – Ereignis Kanaleinstellungen (Enable-und Channel-Access-Methoden).

Wenn das Ereignisprotokoll vorhandene Ereignisse überschreibt (was zu einem Datenverlust führt, wenn das Gerät nicht mit dem Ereignis Kollektor verbunden ist), wird keine Benachrichtigung an den WEF-Collector gesendet, dass Ereignisse vom Client verloren gehen. Es gibt auch keinen Indikator, dass im ereignisdatenstrom eine Lücke aufgetreten ist.

Welches Format wird für weitergeleitete Ereignisse verwendet?

WEF hat zwei Modi für weitergeleitete Ereignisse. Der Standardwert ist "gerenderter Text", der die Textbeschreibung des Ereignisses enthält, wie es in der Ereignisanzeige zu sehen ist. Dies bedeutet, dass die Ereignisgröße je nach Größe der gerenderten Beschreibung effektiv verdoppelt oder verdreifacht wird. Der Alternative Modus ist "Ereignisse" (manchmal auch als "Binärformat" bezeichnet) – das ist nur das Ereignis XML selbst, das im binären XML-Format gesendet wird (wie es in die evtx-Datei geschrieben würde). Dies ist sehr kompakt und kann mehr als das Doppelte der Ereignis Lautstärke sein, die ein einzelner Enduro-Server aufnehmen kann.

Ein Abonnement "testSubscription" kann so konfiguriert werden, dass das Ereignisformat über das WECUTIL-Dienstprogramm verwendet wird:

@rem required to set the DeliveryMaxItems or DeliveryMaxLatencyTime
Wecutil ss “testSubscription” /cf:Events

Wie häufig werden WEF-Ereignisse ausgeliefert?

Die Optionen für die Ereigniszustellung gehören zu den Konfigurationsparametern des WEF-Abonnements – es gibt drei integrierte Abonnement Bereitstellungsoptionen: normal, minimieren Sie die Bandbreite, und minimieren Sie die Wartezeit. Eine vierte, "Benutzerdefiniert" genannte Catch-All-Funktion steht zur Verfügung, kann aber mithilfe der Ereignisanzeige nicht über die WEF-Benutzeroberfläche ausgewählt oder konfiguriert werden. Die Option für die benutzerdefinierte Zustellung muss mit dem WECUTIL ausgewählt und konfiguriert werden. EXE-Befehlszeilenanwendung. Alle Abonnementoptionen definieren die maximale Ereignisanzahl und das maximale Ereignisalter, wenn eines der Grenzwerte überschritten wird und die akkumulierten Ereignisse an den Ereignis Kollektor gesendet werden.

In dieser Tabelle werden die integrierten Übermittlungsoptionen erläutert:

Optimierungsoptionen für die Ereigniszustellung Beschreibung
Normal Mit dieser Option wird die zuverlässige Zustellung von Ereignissen sichergestellt, und es wird nicht versucht, die Bandbreite zu sparen. Dies ist die geeignete Wahl, es sei denn, Sie benötigen eine stärkere Kontrolle über die Bandbreitennutzung oder müssen Weitergeleitete Ereignisse so schnell wie möglich bereitgestellt werden. Es verwendet den Pull-Zustellungsmodus, stapelt 5 Elemente gleichzeitig und legt ein Stapelverarbeitungs Timeout von 15 Minuten fest.
Minimieren der Bandbreite Mit dieser Option wird sichergestellt, dass die Verwendung der Netzwerkbandbreite für die Ereigniszustellung strikt gesteuert wird. Es ist eine geeignete Wahl, wenn Sie die Häufigkeit von Netzwerkverbindungen einschränken möchten, die für die Bereitstellung von Ereignissen erforderlich sind. Es verwendet den Push-Übermittlungsmodus und legt ein Stapelverarbeitungs Timeout von 6 Stunden fest. Darüber hinaus wird ein Taktintervall von 6 Stunden verwendet.
Minimieren der Latenz Mit dieser Option wird sichergestellt, dass Ereignisse mit minimaler Verzögerung bereitgestellt werden. Es ist eine geeignete Wahl, wenn Sie Benachrichtigungen oder kritische Ereignisse sammeln. Es verwendet den Push-Übermittlungsmodus und legt ein Stapelverarbeitungs Timeout von 30 Sekunden fest.

Weitere Informationen zu den Übermittlungsoptionen finden Sie unter Konfigurieren von erweiterten Abonnementeinstellungen.

Der Hauptunterschied besteht in der Latenz, mit der Ereignisse vom Client gesendet werden. Wenn keine der integrierten Optionen Ihren Anforderungen entspricht, können Sie benutzerdefinierte Ereignis Zustellungsoptionen für ein bestimmtes Abonnement über eine Eingabeaufforderung mit erhöhten Rechten einrichten:

@rem required to set the DeliveryMaxItems or DeliveryMaxLatencyTime
Wecutil ss “SubscriptionNameGoesHere” /cm:Custom
@rem set DeliveryMaxItems to 1 event
Wecutil ss “SubscriptionNameGoesHere” /dmi:1
@rem set DeliveryMaxLatencyTime to 10 ms
Wecutil ss “SubscriptionNameGoesHere” /dmlt:10

Wie kann ich Steuern, welche Geräte Zugriff auf ein WEF-Abonnement haben?

Für von der Quelle initiierte Abonnements: jedes WEF-Abonnement auf einem Enduro-Server verfügt über eine eigene ACL für Computerkonten oder Sicherheitsgruppen, die Computerkonten (keine Benutzerkonten) enthalten, die ausdrücklich zur Teilnahme an diesem Abonnement zugelassen sind oder explizit Zugriff verweigert. Diese ACL gilt nur für ein einzelnes WEF-Abonnement (da es mehrere WEF-Abonnements auf einem bestimmten Enduro-Server geben kann), haben andere WEF-Abonnements eine eigene separate ACL.

Für Collector-initiierte Abonnements: das Abonnement enthält die Liste der Computer, von denen der Enduro-Serverereignisse sammelt. Diese Liste wird auf dem Server "Enduro" verwaltet, und die für das Abonnement verwendeten Anmeldeinformationen müssen Zugriff auf Ereignisprotokolle von den WEF-Clients haben – die Anmeldeinformationen können entweder das Computerkonto oder ein Domänenkonto sein.

Kann ein Client mit mehreren WEF-Ereignis Kollektoren kommunizieren?

Ja Wenn Sie eine Umgebung mit hoher Verfügbarkeit wünschen, können Sie einfach mehrere Server mit der gleichen Abonnementkonfiguration konfigurieren und beide Enduro-Server-URIs für WEF-Clients veröffentlichen. WEF-Clients leiten Ereignisse gleichzeitig an die konfigurierten Abonnements auf den Enduro-Servern weiter, wenn Sie über die entsprechenden Zugriffsrechte verfügen.

Was sind die Einschränkungen des Enduro-Servers?

Es gibt drei Faktoren, die die Skalierbarkeit von Enduro-Servern einschränken. Die allgemeine Regel für einen stabilen Enduro-Server auf Commodity-Hardware ist "10K x 10K" – also nicht mehr als 10.000-gleichzeitig aktive WEF-Clients pro Enduro-Server und nicht mehr als 10.000 Ereignisse/zweites durchschnittliches Ereignis Volumen.

  • Datenträger-e/a. Der Enduro-Server verarbeitet oder validiert das empfangene Ereignis nicht, sondern puffert das empfangene Ereignis und protokolliert es dann in einer lokalen Ereignisprotokolldatei (evtx-Datei). Die Geschwindigkeit der Protokollierung in der evtx-Datei ist durch die Schreibgeschwindigkeit der Festplatte limitiert. Durch das Isolieren der evtx-Datei auf ein eigenes Array oder die Verwendung von Hochgeschwindigkeits-Datenträgern kann die Anzahl von Ereignissen pro Sekunde erhöht werden, die ein einzelner Enduro-Server empfangen kann.
  • Netzwerkverbindungen. Während eine WEF-Quelle keine permanente, dauerhafte Verbindung mit dem Enduro-Server aufrecht erhält, wird Sie nach dem Senden der Ereignisse nicht sofort getrennt. Das bedeutet, dass die Anzahl der WEF-Quellen, die gleichzeitig eine Verbindung mit dem Enduro-Server herstellen können, auf die auf dem Enduro-Server verfügbaren geöffneten TCP-Ports limitiert ist.
  • Registrierungsgröße Für jedes eindeutige Gerät, das eine Verbindung mit einem WEF-Abonnement herstellt, gibt es einen Registrierungsschlüssel (entsprechend dem FQDN des WEF-Clients), der zum Speichern von Lesezeichen-und Quell-Heartbeat-Informationen erstellt wurde. Wenn dies nicht beschnitten wird, um inaktive Clients zu entfernen, kann dieser Satz von Registrierungsschlüsseln im Laufe der Zeit auf eine nicht verwaltbare Größe vergrößert werden.

    • Wenn für ein Abonnement >1000 WEF-Quellen über dessen Betriebslebensdauer, auch als Lifetime WEF-Quellen bekannt, verbunden sind, kann die Ereignisanzeige bei der Auswahl des Knotens Abonnements in der linken Navigationsleiste für einige Minuten nicht mehr reagieren, wird aber danach normal funktionieren.
    • Bei >50.000-Lebenszeit-WEF-Quellen ist die Ereignisanzeige keine Option mehr, und wecutil. exe (im Lieferumfang von Windows) muss zum Konfigurieren und Verwalten von Abonnements verwendet werden.
    • Bei >100.000-Lebenszeit-WEF-Quellen wird die Registrierung nicht lesbar sein, und der Server für den Enduro-Server wird wahrscheinlich neu erstellt werden müssen.

Abonnementinformationen

Nachfolgend werden alle Elemente aufgelistet, die von jedem Abonnement erfasst werden, wobei das eigentliche XML-Abonnement in einem Anhang zur Verfügung steht. Diese werden in Baseline und Targeted aufgeteilt. Das Ziel besteht darin, alle Hosts als Basisplan zu abonnieren und dann Hosts nach Bedarf für das zielabonnement zu registrieren (und zu entfernen).

Geplantes Abonnement

Obwohl dies das größte Abonnement ist, handelt es sich wirklich um das niedrigste Volumen pro Gerät. (Ausnahmen sollten für ungewöhnliche Geräte zulässig sein – ein Gerät, das komplexe Entwickler bezogene Aufgaben ausführt, kann davon ausgehen, dass es zu einer ungewöhnlich großen Anzahl von Prozess Erstellungs-und AppLocker-Ereignissen kommen kann.) Für dieses Abonnement ist keine spezielle Konfiguration auf Clientgeräten erforderlich, um Ereignis Kanäle zu aktivieren oder Kanal Berechtigungen zu ändern.

Das Abonnement ist im Wesentlichen eine Sammlung von Abfrageanweisungen, die auf das Ereignisprotokoll angewendet werden. Dies bedeutet, dass Sie modular aufgebaut ist und eine bestimmte Abfrageanweisung entfernt oder geändert werden kann, ohne dass sich dies auf andere Abfrageanweisungen im Abonnement auswirkt. Darüber hinaus können Anweisungen, die bestimmte Ereignisse herausfiltern, nur innerhalb dieser Abfrageanweisung unterdrückt werden und nicht für das gesamte Abonnement gelten.

Geplante Abonnementanforderungen

Um den größten Nutzen aus dem Basisabonnement zu ziehen, empfehlen wir, die folgenden Anforderungen für das Gerät festzulegen, um sicherzustellen, dass die Clients bereits die erforderlichen Ereignisse generieren, die vom System weitergeleitet werden sollen.

  • Wenden Sie eine Sicherheitsüberwachungsrichtlinie an, bei der es sich um eine Supergruppe der empfohlenen mindestüberwachungspolitik handelt. Weitere Informationen finden Sie in Anhang A – mindestens empfohlene Überwachungsrichtlinien für mindestens. Dadurch wird sichergestellt, dass das Sicherheitsereignisprotokoll die erforderlichen Ereignisse generiert.
  • Wenden Sie mindestens eine Überwachungs basierte AppLocker-Richtlinie auf Geräte an.

    • Wenn Sie Ereignisse bereits mithilfe von AppLocker Whitelisting oder Blacklisting verwenden, wird diese Anforderung erfüllt.
    • AppLocker-Ereignisse enthalten äußerst nützliche Informationen wie Datei Hash-und digitale Signaturinformationen für ausführbare Dateien und Skripts.
  • Aktivieren Sie deaktivierte Ereignis Kanäle, und stellen Sie die Mindestgröße für moderne Ereignisdateien ein.

  • Derzeit gibt es keine GPO-Vorlage zum Aktivieren oder Festlegen der maximalen Größe für die modernen Ereignisdateien. Dies muss mithilfe eines GPO erfolgen. Weitere Informationen finden Sie in Anhang C – Ereignis Kanaleinstellungen (Enable-und Channel-Access-Methoden).

Die kommentierte Ereignisabfrage finden Sie im folgenden. Weitere Informationen finden Sie in Anhang F – mit Anmerkungen versehene Ereignisabfrage für verdächtige Abonnements.

  • Anti-Malware-Ereignisse von Microsoft Antimalware oder Windows Defender. Dies kann für jedes beliebige Anti-Malware-Produkt einfach konfiguriert werden, wenn es in das Windows-Ereignisprotokoll schreibt.
  • Security Event Log-Prozess Erstellen von Ereignissen.
  • AppLocker-Prozess Erstellen von Ereignissen (exe, Skript, Installations-und Ausführungs Paket für die APP).
  • Ereignisse für die Registrierungsänderung. Weitere Informationen finden Sie in Anhang B – empfohlene minimale Registrierungs System-ACL-Richtlinie.
  • Starten und Herunterfahren des Betriebssystems

    • Startup-Ereignis: Betriebssystemversion, Service Pack-Ebene, QFE-Version und Startmodus.
  • Dienstinstallation

    • Enthält den Namen des Diensts, den Bild Pfad und den Benutzer, der den Dienst installiert hat.
  • Überwachungsereignisse für Zertifizierungsstellen

    • Dies gilt nur für Systeme, auf denen die Rolle der Zertifizierungsstelle installiert ist.
    • Protokolliert Zertifikatanforderungen und-Antworten.
  • Benutzerprofil Ereignisse

    • Die Verwendung eines temporären Profils oder das Erstellen eines Benutzerprofils kann darauf hindeuten, dass ein Eindringling sich interaktiv an einem Gerät anmeldet, aber kein beständiges Profil hinterlassen möchte.
  • Dienststart Fehler

    • Fehlercodes sind lokalisiert, daher müssen Sie die Nachrichten-dll auf Werte überprüfen.
  • Netzwerkfreigabe-Zugriffsereignisse

    • Filtern Sie IPC $-und/Netlogon-Dateifreigaben, die erwartet und laut sind.
  • System-Shutdown initiiert Anforderungen

    • Informieren Sie sich, was den Neustart eines Geräts initiiert hat.
  • Benutzer initiiertes interaktives Abmeldeereignis

  • Remote Desktop Dienste-Sitzung verbinden, erneut verbinden oder trennen.
  • Emet-Ereignisse, wenn Emet installiert ist.
  • Ereignis Weiterleitungs-Plug-in-Ereignisse

    • Zum Überwachen von WEF-Abonnement Vorgängen, insbesondere partieller Erfolgsereignisse. Dies ist hilfreich bei der Diagnose von Bereitstellungsproblemen.
  • Erstellen und Löschen von Netzwerkfreigaben

    • Ermöglicht das Erkennen von nicht autorisierten Freigaben. >Hinweis: Alle Freigaben werden beim Start des Geräts neu erstellt.
  • Anmeldesitzungen

    • Erfolgreiche Anmeldung für Interactive (lokal und Remote interaktiv/Remote Desktop)
    • Erfolgreiche Anmeldung für Dienste für nicht integrierte Konten, wie etwa LocalSystem, LocalNetwork usw.
    • Erfolgreiche Anmeldung für Batch Sitzungen
    • Anmeldesitzung schließen, bei der es sich um Abmeldeereignisse für nicht-Netzwerksitzungen handelt.
  • Windows-Fehlerberichterstattung (nur Anwendungsabsturz Ereignisse)

    • Dies kann helfen, frühe Anzeichen von Eindringlingen zu erkennen, die nicht mit der Unternehmensumgebung mit gezielter Malware vertraut sind.
  • Ereignisprotokolldienst Ereignisse

    • Fehler, starten von Ereignissen und Beenden von Ereignissen für den Windows-Ereignisprotokolldienst
  • Ereignisprotokoll gelöscht (einschließlich des Sicherheitsereignisprotokolls)

    • Dies kann auf einen Eindringling hindeuten, der seine Spuren abdeckt.
  • Der neuen Anmeldung zugewiesene besondere Privilegien

    • Dies zeigt an, dass ein Benutzer zum Zeitpunkt der Anmeldung entweder ein Administrator ist oder über genügend Zugriff verfügt, um sich selbst Administrator zu machen.
  • Ausgehende Remote Desktop Dienste-Sitzungs Versuche

    • Einblick in potenzielle Beachhead für Eindringlinge
  • System Zeit geändert

  • SMB-Client (zugeordnete Laufwerkverbindungen)
  • Überprüfung von Kontoanmeldeinformationen

    • Lokale Konten oder Domänenkonten auf Domänencontrollern
  • Ein Benutzer wurde der lokalen Administratoren-Sicherheitsgruppe hinzugefügt oder daraus entfernt.

  • Zugriff auf den privaten Schlüssel der Crypto-API

    • Zugeordnet mit signierenden Objekten mit dem lokal gespeicherten privaten Schlüssel.
  • Erstellen und Löschen von Aufgaben Planungsaufgaben

    • Mit der Aufgabenplanung können Eindringlinge Code zu angegebenen Zeiten als LocalSystem ausführen.
  • Anmeldung mit expliziten Anmeldeinformationen

    • Erkennen von Anmeldeinformationen verwenden Sie Änderungen durch Eindringlinge, um auf Weitere Ressourcen zuzugreifen.
  • Verifizierungs Ereignisse für Smartcard-Karteninhaber

    • Dies erkennt, wenn eine Smartcard verwendet wird.

Verdächtiges Abonnement

Dadurch werden einige mögliche Aktivitäten mit Eindringlingen hinzugefügt, damit Analytiker ihre Ermittlungen zum Zustand des Geräts weiter verfeinern können.

  • Erstellung von Anmeldesitzungen für Netzwerksitzungen

    • Ermöglicht die Zeitreihenanalyse von Netzwerkdiagrammen.
  • RADIUS-und VPN-Ereignisse

    • Nützlich, wenn Sie eine Microsoft IAS RADIUS/VPN-Implementierung verwenden. Sie zeigt die Zuweisung> von Benutzer-IP-Adressen mit einer Remote-IP-Adresse, die eine Verbindung mit dem Unternehmen herstellt.
  • Krypto-API-X509-Objekt und Buildereignisse

    • Erkennt bekanntes fehlerhaftes Zertifikat, Zertifizierungsstelle oder untergeordnete Zertifizierungsstelle
    • Erkennt ungewöhnliche Prozessnutzung von CAPI
  • Der lokalen Anmeldung zugewiesene Gruppen

    • Bietet Sichtbarkeit für Gruppen, die den Zugriff auf das Konto ermöglichen
    • Bessere Planung für Behebungsmaßnahmen
    • Schließt bekannte, integrierte Systemkonten aus.
  • Anmeldesitzung beenden

    • Spezifisch für Netzwerk Anmeldesitzungen.
  • Client-DNS-Nachschlage Ereignisse

    • Gibt zurück, welcher Prozess eine DNS-Abfrage und die vom DNS-Server zurückgegebenen Ergebnisse ausgeführt hat.
  • Prozess beenden

    • Ermöglicht das Überprüfen auf Prozesse, die unerwartet beendet werden.
  • Überprüfung lokaler Anmeldeinformationen oder Anmeldung mit expliziten Anmeldeinformationen

    • Wird generiert, wenn der lokale SAM autorisierend für die Kontoanmeldeinformationen ist, die authentifiziert werden.
    • Laut auf Domänencontrollern
    • Auf Clientgeräten wird dies nur generiert, wenn lokale Konten angemeldet sind.
  • Überwachungsereignisse für Registrierungsänderungen

    • Nur, wenn ein Registrierungswert erstellt, geändert oder gelöscht wird.
  • Drahtlose 802.1 x-Authentifizierung

    • Erkennen einer WLAN-Verbindung mit einer Peer-Mac-Adresse
  • Windows PowerShell-Protokollierung

    • Behandelt Windows PowerShell 2,0 und höher und umfasst die Windows PowerShell 5,0-Protokollierungs Verbesserungen für in-Memory-Angriffe mithilfe von Windows PowerShell.
    • Umfasst die Windows PowerShell-Remoteprotokollierung
  • Benutzermodus-Treiber Framework "Treiber geladen"-Ereignis

    • Möglicherweise kann ein USB-Gerät erkannt werden, das mehrere Gerätetreiber lädt. Beispiel: ein USB-_STOR Gerät, das die Tastatur oder den Netzwerktreiber lädt.

Anhang A – minimale empfohlene mindestüberwachungspolitik

Das ist in Ordnung, wenn Ihre Überwachungsrichtlinie für Ihre Organisation eine zusätzliche Überwachung ermöglicht, um Ihre Anforderungen zu erfüllen. Die nachstehende Richtlinie enthält die Mindesteinstellungen für die Überwachungsrichtlinien, die zum Aktivieren von Ereignissen, die von Baseline-und zielabonnements erfasst werden, erforderlich sind.

Kategorie Unterkategorie Überwachungseinstellungen
Konto Anmeldung Validierung von Anmeldeinformationen Erfolg und Misserfolg
Kontoverwaltung Verwaltung von Sicherheitsgruppen Erfolgreich
Kontoverwaltung Benutzerkontenverwaltung Erfolg und Misserfolg
Kontoverwaltung Verwaltung von Computer Konten Erfolg und Misserfolg
Kontoverwaltung Andere Kontoverwaltungsereignisse Erfolg und Misserfolg
Detaillierte Nachverfolgung Prozesserstellung Erfolgreich
Detaillierte Nachverfolgung Prozessabbruch Erfolgreich
Anmelden/Abmelden Ansprüche von Benutzern/Geräten Nicht konfiguriert
Anmelden/Abmelden Erweiterter IPSec-Modus Nicht konfiguriert
Anmelden/Abmelden IPSec-Schnellmodus Nicht konfiguriert
Anmelden/Abmelden Anmelde Erfolg und Misserfolg
Anmelden/Abmelden Abmelden (Logoff) Erfolgreich
Anmelden/Abmelden Andere Anmelde-/Abmeldeereignisse Erfolg und Misserfolg
Anmelden/Abmelden Spezielle Anmeldung Erfolg und Misserfolg
Anmelden/Abmelden Kontosperrung Erfolgreich
Objektzugriff Anwendung generiert Nicht konfiguriert
Objektzugriff Dateifreigabe Erfolgreich
Objektzugriff Dateisystem Nicht konfiguriert
Objektzugriff Andere Objektzugriffsereignisse Nicht konfiguriert
Objektzugriff Registrierung Nicht konfiguriert
Objektzugriff Wechselmedien Erfolgreich
Richtlinienänderung Überwachungsrichtlinien Änderung Erfolg und Misserfolg
Richtlinienänderung MPSSVC-Richtlinienänderung auf Regelebene Erfolg und Misserfolg
Richtlinienänderung Andere Ereignisse für die Richtlinienänderung Erfolg und Misserfolg
Richtlinienänderung Änderung der Authentifizierungsrichtlinie Erfolg und Misserfolg
Richtlinienänderung Autorisierungsrichtlinienänderung Erfolg und Misserfolg
Verwendung von Privilegien Verwendung vertraulicher Berechtigungen Nicht konfiguriert
System Änderung des Sicherheitsstatus Erfolg und Misserfolg
System Erweiterung des Sicherheitssystems Erfolg und Misserfolg
System System Integrität Erfolg und Misserfolg

Anhang B – empfohlene minimale Registrierungssystem-ACL-Richtlinie

Die Tasten Run und RunOnce sind hilfreich für Eindringlinge und Malware Persistenz. Sie ermöglicht die Ausführung von Code, wenn ein Benutzer sich am System anmeldet.

Dies kann auf einfache Weise auf andere Start Punkte-Schlüssel der automatischen Ausführung in der Registrierung ausgedehnt werden.

Verwenden Sie die folgenden Abbildungen, um zu erfahren, wie Sie diese Registrierungsschlüssel konfigurieren können.

Standard-ACL für Run-Schlüssel

Standard-ACL für RunOnce-Schlüssel

Anhang C – Ereignis Kanaleinstellungen (Enable-und Channel-Access)-Methoden

Einige Kanäle sind standardmäßig deaktiviert und müssen aktiviert sein. Andere Personen wie Microsoft-Windows-CAPI2/Operational müssen den Kanalzugriff geändert haben, damit die integrierte Sicherheitsgruppe der Ereignisprotokollleser davon lesen kann.

Die empfohlene und effektivste Methode besteht darin, das Baseline-Gruppenrichtlinienobjekt so zu konfigurieren, dass ein geplanter Task ausgeführt wird, um die Ereignis Kanäle zu konfigurieren (aktivieren, maximale Größe festlegen und Kanalzugriff anpassen). Diese Aktion wird beim nächsten Aktualisierungszyklus des Gruppenrichtlinienobjekts wirksam und hat nur minimale Auswirkungen auf das Clientgerät.

Das folgende GPO-Snippet führt die folgenden Aktionen aus:

  • Aktiviert den Microsoft-Windows-Capi2/Operations -Ereignis Kanal.
  • Legt die maximale Dateigröße für Microsoft-Windows-Capi2/betriebsbereit auf 100MB fest.
  • Legt die maximale Dateigröße für Microsoft-Windows-AppLocker/exe und dll auf 100MB fest.
  • Legt den maximalen Kanalzugriff für Microsoft-Windows-Capi2/Operational so fest, dass er die integrierte Sicherheitsgruppe "Ereignisprotokollleser" enthält.
  • Aktiviert den Microsoft-Windows-DriverFrameworks-Benutzermodus/Operational- Ereignis Kanal.
  • Legt die maximale Dateigröße für Microsoft-Windows-DriverFrameworks-Benutzermodus/Operational auf 50 MB fest.

Konfigurieren von Ereignis Kanälen

Anhang D – minimales GPO für die WEF-Client Konfiguration

Hier sind die mindestschritte für die Verwendung von WEF:

  1. Konfigurieren Sie die Collector-URI (s).
  2. Starten Sie den WinRM-Dienst.
  3. Fügen Sie das Netzwerkdienstkonto der integrierten Sicherheitsgruppe "Ereignisprotokollleser" hinzu. Dies ermöglicht das Lesen von einem sicheren Ereignis Kanal wie dem Sicherheitsereignis Kanal.

Konfigurieren des WEF-Clients

Anhang E – mit Anmerkungen versehene Baseline-Abonnement-Ereignisabfrage

<QueryList>
  <Query Id="0" Path="System">
    <!-- Anti-malware *old* events, but only detect events (cuts down noise) -->
    <Select Path="System">*[System[Provider[@Name='Microsoft Antimalware'] and (EventID &gt;= 1116 and EventID &lt;= 1119)]]</Select>
  </Query>
  <!-- AppLocker EXE events or Script events -->
  <Query Id="1" Path="Microsoft-Windows-AppLocker/EXE and DLL">
    <Select Path="Microsoft-Windows-AppLocker/EXE and DLL">*[UserData[RuleAndFileData[PolicyName="EXE"]]]</Select>
    <Select Path="Microsoft-Windows-AppLocker/MSI and Script">*</Select>
  </Query>
  <Query Id="2" Path="Security">
    <!-- Wireless Lan 802.1x authentication events with Peer MAC address -->
    <Select Path="Security">*[System[(EventID=5632)]]</Select>
  </Query>
  <Query Id="3" Path="Microsoft-Windows-TaskScheduler/Operational">
    <!-- Task scheduler Task Registered (106),  Task Registration Deleted (141), Task Deleted (142) -->
    <Select Path="Microsoft-Windows-TaskScheduler/Operational">*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]</Select>
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]</Select>
  </Query>
  <Query Id="4" Path="System">
    <!-- System startup (12 - includes OS/SP/Version) and shutdown -->
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]]</Select>
  </Query>
  <Query Id="5" Path="System">
    <!-- Service Install (7000), service start failure (7045), new service (4697) -->
    <Select Path="System">*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045)]]</Select>
<Select Path="Security">*[System[(EventID=4697)]]</Select>
  </Query>
  <Query Id="6" Path="Security">
    <!-- TS Session reconnect (4778), TS Session disconnect (4779) -->
    <Select Path="Security">*[System[(EventID=4778 or EventID=4779)]]</Select>
  </Query>
  <Query Id="7" Path="Security">
    <!-- Network share object access without IPC$ and Netlogon shares -->
    <Select Path="Security">*[System[(EventID=5140)]] and (*[EventData[Data[@Name="ShareName"]!="\\*\IPC$"]]) and (*[EventData[Data[@Name="ShareName"]!="\\*\NetLogon"]])</Select>
  </Query>
  <Query Id="8" Path="Security">
    <!-- System Time Change (4616)  -->
    <Select Path="Security">*[System[(EventID=4616)]]</Select>
  </Query>
  <Query Id="9" Path="System">
    <!-- Shutdown initiate requests, with user, process and reason (if supplied) -->
    <Select Path="System">*[System[Provider[@Name='USER32'] and (EventID=1074)]]</Select>
  </Query>
  <!-- AppLocker packaged (Modern UI) app execution -->
  <Query Id="10" Path="Microsoft-Windows-AppLocker/Packaged app-Execution">
    <Select Path="Microsoft-Windows-AppLocker/Packaged app-Execution">*</Select>
  </Query>
  <!-- AppLocker packaged (Modern UI) app installation -->
  <Query Id="11" Path="Microsoft-Windows-AppLocker/Packaged app-Deployment">
    <Select Path="Microsoft-Windows-AppLocker/Packaged app-Deployment">*</Select>
  </Query>
  <Query Id="12" Path="Application">
    <!-- EMET events -->
    <Select Path="Application">*[System[Provider[@Name='EMET']]]</Select>
  </Query>
  <Query Id="13" Path="System">
    <!-- Event log service events -->
    <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]</Select>
  </Query>
  <Query Id="14" Path="Security">
    <!-- Local logons without network or service events -->
    <Select Path="Security">*[System[(EventID=4624)]] and (*[EventData[Data[@Name="LogonType"]!="3"]]) and (*[EventData[Data[@Name="LogonType"]!="5"]])</Select>
  </Query>
  <Query Id="15" Path="Application">
    <!-- WER events for application crashes only -->
    <Select Path="Application">*[System[Provider[@Name='Windows Error Reporting']]] and (*[EventData[Data[3] ="APPCRASH"]])</Select>
  </Query>
  <Query Id="16" Path="Security">
    <!-- Security Log cleared events (1102), EventLog Service shutdown (1100)-->
    <Select Path="Security">*[System[(EventID=1102 or EventID = 1100)]]</Select>
  </Query>
  <Query Id="17" Path="System">
    <!-- Other Log cleared events (104)-->
    <Select Path="System">*[System[(EventID=104)]]</Select>
  </Query>
  <Query Id="18" Path="Security">
    <!--  user initiated logoff -->
    <Select Path="Security">*[System[(EventID=4647)]]</Select>
  </Query>
  <Query Id="19" Path="Security">
    <!-- user logoff for all non-network logon sessions-->
    <Select Path="Security">*[System[(EventID=4634)]] and (*[EventData[Data[@Name="LogonType"] != "3"]])</Select>
  </Query>
  <Query Id="20" Path="Security">
    <!-- Service logon events if the user account isn't LocalSystem, NetworkService, LocalService -->
    <Select Path="Security">*[System[(EventID=4624)]] and (*[EventData[Data[@Name="LogonType"]="5"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-18"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-19"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-20"]])</Select>
  </Query>
  <Query Id="21" Path="Security">
    <!-- Network Share create (5142), Network Share Delete (5144)  -->
    <Select Path="Security">*[System[(EventID=5142 or EventID=5144)]]</Select>
  </Query>
  <Query Id="22" Path="Security">
    <!-- Process Create (4688) -->
    <Select Path="Security">*[System[EventID=4688]]</Select>
  </Query>
  <Query Id="23" Path="Security">
    <!-- Event log service events specific to Security channel -->
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]</Select>
  </Query>
  <Query Id="26" Path="Security">
    <!-- Special Privileges (Admin-equivalent Access) assigned to new logon, excluding LocalSystem-->
    <Select Path="Security">*[System[(EventID=4672)]]</Select>
    <Suppress Path="Security">*[EventData[Data[1]="S-1-5-18"]]</Suppress>
  </Query>
  <Query Id="27" Path="Security">
    <!-- New user added to local security group-->
    <Select Path="Security">*[System[(EventID=4732)]]</Select>
  </Query>
  <Query Id="28" Path="Security">
    <!-- New user added to global security group-->
    <Select Path="Security">*[System[(EventID=4728)]]</Select>
  </Query>
  <Query Id="29" Path="Security">
    <!-- New user added to universal security group-->
    <Select Path="Security">*[System[(EventID=4756)]]</Select>
  </Query>
  <Query Id="30" Path="Security">
    <!-- User removed from local Administrators group-->
    <Select Path="Security">*[System[(EventID=4733)]] and (*[EventData[Data[@Name="TargetUserName"]="Administrators"]])</Select>
  </Query>
  <Query Id="31" Path="Microsoft-Windows-TerminalServices-RDPClient/Operational">
    <!-- Log attempted TS connect to remote server -->
    <Select Path="Microsoft-Windows-TerminalServices-RDPClient/Operational">*[System[(EventID=1024)]]</Select>
  </Query>
  <Query Id="32" Path="Security">
    <!-- Certificate Services received certificate request (4886), Approved and Certificate issued (4887), Denied request (4888) -->
    <Select Path="Security">*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]</Select>
  </Query>
  <Query Id="34" Path="Security">
    <!-- New User Account Created(4720), User Account Enabled (4722), User Account Disabled (4725), User Account Deleted (4726) -->
    <Select Path="Security">*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]]</Select>
  </Query>
  <Query Id="35" Path="Microsoft-Windows-SmartCard-Audit/Authentication">
    <!-- Gets all Smart-card Card-Holder Verification (CHV) events (success and failure) performed on the host. -->
    <Select Path="Microsoft-Windows-SmartCard-Audit/Authentication">*</Select>
  </Query>
  <Query Id="36" Path="Microsoft-Windows-SMBClient/Operational">
    <!-- get all UNC/mapped drive successful connection -->
    <Select Path="Microsoft-Windows-SMBClient/Operational">*[System[(EventID=30622 or EventID=30624)]]</Select>
  </Query>
  <Query Id="37" Path="Application">
    <!-- User logging on with Temporary profile (1511), cannot create profile, using temporary profile (1518)-->
    <Select Path="Application">*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]]</Select>
  </Query>
  <Query Id="39" Path="Microsoft-Windows-Sysmon/Operational">
    <!-- Modern SysMon event provider-->
    <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
  </Query>
  <Query Id="40" Path="Application">
    <!-- Application crash/hang events, similar to WER/1001. These include full path to faulting EXE/Module.-->
    <Select Path="Application">*[System[Provider[@Name='Application Error'] and (EventID=1000)]]</Select>
    <Select Path="Application">*[System[Provider[@Name='Application Hang'] and (EventID=1002)]]</Select>
  </Query>
  <Query Id="41" Path="Microsoft-Windows-Windows Defender/Operational">
    <!-- Modern Windows Defender event provider Detection events (1006-1009) and (1116-1119) -->
    <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[( (EventID &gt;= 1006 and EventID &lt;= 1009) )]]</Select>
    <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[( (EventID &gt;= 1116 and EventID &lt;= 1119) )]]</Select>
  </Query>
  <Query Id="42" Path="Security">
    <!-- An account Failed to Log on events -->
    <Select Path="Security">*[System[(EventID=4625)]] and (*[EventData[Data[@Name="LogonType"]!="2"]]) </Select>
  </Query>

</QueryList>

Anhang F – mit Anmerkungen versehene Ereignisabfrage für verdächtige Abonnements

<QueryList>
  <Query Id="0" Path="Security">
    <!-- Network logon events-->
    <Select Path="Security">*[System[(EventID=4624)]] and (*[EventData[Data[@Name="LogonType"]="3"]])</Select>
  </Query>
  <Query Id="1" Path="System">
    <!-- RADIUS authentication events User Assigned IP address (20274), User successfully authenticated (20250), User Disconnected (20275)  -->
    <Select Path="System">*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]]</Select>
  </Query>
  <Query Id="2" Path="Microsoft-Windows-CAPI2/Operational">
    <!-- CAPI events Build Chain (11), Private Key accessed (70), X509 object (90)-->
    <Select Path="Microsoft-Windows-CAPI2/Operational">*[System[(EventID=11 or EventID=70 or EventID=90)]]</Select>
  </Query>
  <Query Id="3" Path="Security">
    <!-- CA stop/Start events CA Service Stopped (4880), CA Service Started (4881), CA DB row(s) deleted (4896), CA Template loaded (4898) -->
    <Select Path="Security">*[System[(EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898)]]</Select>
  </Query>
  <Query Id="4" Path="Microsoft-Windows-LSA/Operational">
    <!-- Groups assigned to new login (except for well known, built-in accounts)-->
    <Select Path="Microsoft-Windows-LSA/Operational">*[System[(EventID=300)]] and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-20"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-18"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-19"]])</Select>
  </Query>
  <Query Id="5" Path="Security">
    <!-- Logoff events - for Network Logon events-->
    <Select Path="Security">*[System[(EventID=4634)]] and (*[EventData[Data[@Name="LogonType"] = "3"]])</Select>
  </Query>
  <Query Id="6" Path="Security">
    <!-- RRAS events – only generated on Microsoft IAS server -->
    <Select Path="Security">*[System[( (EventID &gt;= 6272 and EventID &lt;= 6280) )]]</Select>
  </Query>
  <Query Id="7" Path="Microsoft-Windows-DNS-Client/Operational">
    <!-- DNS Client events Query Completed (3008) -->
    <Select Path="Microsoft-Windows-DNS-Client/Operational">*[System[(EventID=3008)]]</Select>
<!-- suppresses local machine name resolution events -->
<Suppress Path="Microsoft-Windows-DNS-Client/Operational">*[EventData[Data[@Name="QueryOptions"]="140737488355328"]]</Suppress>
<!-- suppresses empty name resolution events -->
<Suppress Path="Microsoft-Windows-DNS-Client/Operational">*[EventData[Data[@Name="QueryResults"]=""]]</Suppress>
  </Query>
  <Query Id="8" Path="Security">
    <!-- Process Terminate (4689) -->
    <Select Path="Security">*[System[(EventID = 4689)]]</Select>
  </Query>
  <Query Id="9" Path="Security">
    <!-- Local credential authentication events (4776), Logon with explicit credentials (4648) -->
    <Select Path="Security">*[System[(EventID=4776 or EventID=4648)]]</Select>
  </Query>
  <Query Id="10" Path="Security">
    <!-- Registry modified events for Operations: New Registry Value created (%%1904), Existing Registry Value modified (%%1905), Registry Value Deleted (%%1906) -->
    <Select Path="Security">*[System[(EventID=4657)]] and ((*[EventData[Data[@Name="OperationType"] = "%%1904"]]) or (*[EventData[Data[@Name="OperationType"] = "%%1905"]]) or (*[EventData[Data[@Name="OperationType"] = "%%1906"]]))</Select>
  </Query>
  <Query Id="11" Path="Security">
    <!-- Request made to authenticate to Wireless network (including Peer MAC (5632) -->
    <Select Path="Security">*[System[(EventID=5632)]]</Select>
  </Query>
  <Query Id="12" Path="Microsoft-Windows-PowerShell/Operational">
    <!-- PowerShell execute block activity (4103), Remote Command(4104), Start Command(4105), Stop Command(4106) -->
    <Select Path="Microsoft-Windows-PowerShell/Operational">*[System[(EventID=4103 or EventID=4104 or EventID=4105 or EventID=4106)]]</Select>
  </Query>
  <Query Id="13" Path="Microsoft-Windows-DriverFrameworks-UserMode/Operational">
    <!-- Detect User-Mode drivers loaded - for potential BadUSB detection. -->
    <Select Path="Microsoft-Windows-DriverFrameworks-UserMode/Operational">*[System[(EventID=2004)]]</Select>
  </Query>
<Query Id="14" Path="Windows PowerShell">
    <!-- Legacy PowerShell pipeline execution details (800) -->
    <Select Path="Windows PowerShell">*[System[(EventID=800)]]</Select>
  </Query>
</QueryList>

Anhang G – Online Ressourcen

Weitere Informationen finden Sie unter den folgenden Links: