Connecter les événements de sécurité WindowsConnect Windows security events

Vous pouvez transmettre en continu tous les événements de sécurité des serveurs Windows connectés à votre espace de travail Azure Sentinel.You can stream all security events from the Windows Servers connected to your Azure Sentinel workspace. Cette connexion vous permet d’afficher des tableaux de bord, de créer des alertes personnalisées et d’améliorer les investigations.This connection enables you to view dashboards, create custom alerts, and improve investigation. Cela vous donne plus d’informations sur le réseau de votre organisation et améliore vos capacités d’opération de sécurité.This gives you more insight into your organization’s network and improves your security operation capabilities. Vous pouvez sélectionner les événements à transmettre en continu :You can select which events to stream:

  • Tous les événements : tous les événements AppLocker et de sécurité Windows.All events - All Windows security and AppLocker events.
  • Courant : un ensemble d’événements à des fins d’audit.Common - A standard set of events for auditing purposes. Une piste d’audit utilisateur complète est fournie dans cet ensemble.A full user audit trail is included in this set. Par exemple, cet ensemble contient les événements de connexion et de déconnexion de l’utilisateur (ID d’événement 4634).For example, this set contains both user sign in and user sign out events (event ID 4634). Nous incluons les actions d’audit, telles que les modifications de groupe de sécurité, les opérations Kerberos du contrôleur de domaine clé et les autres événements recommandés par les organisations du secteur.We include auditing actions like security group changes, key domain controller Kerberos operations, and other events that are recommended by industry organizations.

Les événements qui ont un volume très faible ont été inclus dans l’ensemble Commun, car la motivation principale à préférer cet ensemble à l’ensemble Tous les événements est de réduire le volume et de ne pas filtrer d’événements spécifiques.Events that have very low volume were included in the Common set as the main motivation to choose it over all the events is to reduce the volume and not to filter out specific events.

  • Minimal : un petit ensemble d’événements qui peuvent indiquer des menaces potentielles.Minimal - A small set of events that might indicate potential threats. En activant cette option, vous ne pourrez pas avoir de piste d’audit complète.By enabling this option, you won't be able to have a full audit trail. Cet ensemble couvre uniquement les événements qui peuvent indiquer une violation avérée et des événements importants qui ont un volume très faible.This set covers only events that might indicate a successful breach and important events that have a very low volume. Par exemple, cet ensemble contient une connexion utilisateur ayant réussi et ayant échoué (ID d’événement 4624, 4625), mais il ne contient pas d’informations de déconnexion, qui sont importantes pour l’audit, mais pas pour la détection, et dont le volume est relativement élevé.For example, this set contains user successful and failed login (event IDs 4624, 4625), but it doesn’t contain sign out information which is important for auditing but not meaningful for detection and has relatively high volume. Le plus gros du volume de données de cet ensemble est constitué d’événements de connexion et d’un événement de création de processus (ID d’événement 4688).Most of the data volume of this set is the sign in events and process creation event (event ID 4688).
  • Aucun : aucun événement AppLocker ni de sécurité.None - No security or AppLocker events.

Notes

  • Les données seront stockées dans l’emplacement géographique de l’espace de travail sur lequel vous exécutez Azure Sentinel.Data will be stored in the geographic location of the workspace on which you are running Azure Sentinel.
  • Si Azure Security Center et Azure Sentinel s’exécutent sur le même espace de travail, le connecteur des événements de sécurité ne peut être connecté qu’à partir d’Azure Security Center ou d’Azure Sentinel.If Azure Security Center and Azure Sentinel are running on the same workspace, the Security Events connector can only be connected from either Azure Security Center or Azure Sentinel. Pour gérer ces événements à partir d’Azure Sentinel, nous vous recommandons de le déconnecter d’Azure Security Center et de ne le connecter qu’à Azure Sentinel.To manage these events from Azure Sentinel, we recommend that you disconnect it from Azure Security Center and connect it only to Azure Sentinel.

La liste suivante fournit le détail complet des ID d’événement App Locker et de sécurité pour chaque ensemble :The following list provides a complete breakdown of the Security and App Locker event IDs for each set:

Couche DonnéesData tier Indicateurs d’événements collectésCollected event indicators
MinimalesMinimal 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,82224756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
CourantCommon 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,300046273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Configurer le connecteur d’événements de sécurité WindowsSet up the Windows security events connector

Pour intégrer complètement vos événements de sécurité Windows à Azure Sentinel :To fully integrate your Windows security events with Azure Sentinel:

  1. Dans le portail Azure Sentinel, sélectionnez Data connectors (Connecteurs de données), puis cliquez sur la vignette Événements de sécurité Windows.In the Azure Sentinel portal, select Data connectors and then click on the Windows security events tile.
  2. Sélectionnez les types de données que vous souhaitez transmettre en continu.Select which data types you want to stream.
  3. Cliquez sur Update.Click Update.
  4. Pour utiliser le schéma pertinent dans Log Analytics pour les événements de sécurité Windows, recherchez SecurityEvent.To use the relevant schema in Log Analytics for the Windows security events, search for SecurityEvent.

Valider la connectivitéValidate connectivity

Environ 20 minutes peuvent être nécessaires avant que vos journaux commencent à apparaître dans Log Analytics.It may take around 20 minutes until your logs start to appear in Log Analytics.

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter les événements de sécurité Windows à Azure Sentinel.In this document, you learned how to connect Windows security events to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: