Cortex XDR - Windows Event pro Sammeltool

Cortex XDR - Windows Event pro Sammeltool

10000
Created On 01/19/21 08:28 AM - Last Modified 04/23/24 00:17 AM


Question


Welche Ereignisse werden von jedem Tool gesammelt?

Environment


Fenster OS

Answer


SicherheitKerberos-Authentifizierungsprotokoll4768
SicherheitKerberos-Serviceticket-Anforderung4769
SicherheitKerberos Serviceticket verlängert4770
SicherheitKerberos-Vorauthentifizierung fehlgeschlagen4771
SicherheitDer Computer hat versucht, die Anmeldeinformationen für ein Konto zu überprüfen.4776
SicherheitEin Konto wurde erfolgreich angemeldet.4624
SicherheitEin Konto wurde erfolgreich abgemeldet.4634
SicherheitA Die Anmeldung wurde versucht, explizite Anmeldeinformationen zu verwenden4648
SicherheitBesondere Berechtigungen für die neue Anmeldung4672
SicherheitA Benutzerkonto wurde erstellt4720
SicherheitA Benutzerkonto aktiviert wurde4722
SicherheitEs wurde versucht, das Kennwort eines Kontos zu ändern.4723
SicherheitEs wurde versucht, das Kennwort eines Kontos zurückzusetzen.4724
SicherheitA Benutzerkonto wurde deaktiviert4725
SicherheitA Benutzerkonto wurde gelöscht4726
SicherheitA Benutzerkonto wurde geändert4738
SicherheitA Benutzerkonto wurde gesperrt4740
SicherheitA Benutzerkonto wurde entsperrt4767
SicherheitDie ACL wurde für Konten festgelegt, die Mitglieder von Administratorengruppen sind.4780
SicherheitDer Name eines Kontos wurde geändert.4781
SicherheitEs wurde versucht, das Administratorkennwort für den Verzeichnisdienstewiederherstellungsmodus festzulegen.4794

Unten ist die Veranstaltungsliste, die vom Broker gesammelt VM WEC wird:


Die meisten Ereignisse werden von der Datensammlung erfasst EDR (unten Liste):
AnwendungMicrosoft-Windows-Benutzerprofildienst1511, 1518Benutzeranmeldung mit temporärem Profil (1511), Profil kann nicht mit temporärem Profil erstellt werden (1518)
AnwendungAnwendungsfehler1000Anwendungsabsturz-/Hängeereignisse, ähnlich wie WER /1001. Dazu gehören der vollständige Pfad zum Fehlerhaften EXE /Module
AnwendungAnwendung Hang1002Anwendungsabsturz-/Hängeereignisse, ähnlich wie WER /1001. Dazu gehören der vollständige Pfad zum Fehlerhaften EXE /Module
Microsoft-Windows-CAPI2/Operational 11, 70, 90CAPI Ereignisse Build Chain (11), Auf private Schlüssel zugegriffen (70), X509-Objekt (90)
Microsoft-Windows- DNS- Client/Operational 3008DNS Query Completed (3008) ohne lokalen Computer, Auflösungsereignisse und ohne leere Namensauflösungsereignisse
Microsoft-Windows-DriverFrameworks-UserMode/Operational 2004Benutzermodus-Treiber deinstalliert erkennen - für potenzielle USB Bad-Erkennung
Microsoft-Windows-PowerShell/Operational 4103, 4104, 4105, 4106PowerShell-Blockaktivität (4103), Remote Command (4104), Start Command (4105), Stop Command (4106)
Microsoft-Windows-Task Scheduler/OperationalMicrosoft-Windows-Task-Planer106, 129, 141, 142, 200, 201 
Microsoft-Windows-TerminalServices-RDPClient/Operational 1024Protokollieren versuchter TS Verbindung mit dem Remoteserver
Microsoft-Windows-Windows Defender/Operational 1006, 1009Moderne Windows Defender-Ereignisanbietererkennungsereignisse (1006 und 1009)
Microsoft-Windows-Windows Defender/Operational 1116, 1119
 Moderne Windows Defender-Ereignisanbietererkennungsereignisse (1116 und 1119)
Microsoft-Windows-Windows Firewall mit erweiterter Sicherheit/FirewallMicrosoft-Windows-Windows Firewall mit erweiterter Sicherheit2004, 2005, 2006, 2009, 2033Windows Firewall mit erweiterten lokalen Sicherheitsänderungen (Stufen 0, 2, 4)
Sicherheit 4698, 4702 
Sicherheit 4778, 4779TS Sitzungsverbindung (4778), TS Sitzungstrennung (4779)
Sicherheit 5140Netzwerkfreigabeobjektzugriff ohne IPC .
Sicherheit 5140, 5142, 5144, 5145Network Share create (5142), Network Share Delete (5144), A Network Share Object wurde überprüft, um festzustellen, ob dem Client gewünschter Zugriff gewährt werden kann (5145), Netzwerkfreigabeobjektzugriff (5140)
Sicherheit 4616Systemzeitänderung (4616)
Sicherheit 4624Lokale Anmeldungen ohne Netzwerk- oder Dienstereignisse
Sicherheit 1100, 1102Sicherheitsprotokoll gelöschte Ereignisse (1102), Herunterfahren des EventLog-Dienstes (1100)
Sicherheit 4647Vom Benutzer initiierte Abmeldung
Sicherheit 4634Benutzerabmelden für alle Nicht-Netzwerk-Anmeldesitzungen
Sicherheit 4624Dienstanmeldungsereignisse, wenn das Benutzerkonto nicht LocalSystem, NetworkService, LocalService ist
Sicherheit 5142, 5144Netzwerkfreigabeerstellen (5142), Löschen von Netzwerkfreigaben (5144)
Sicherheit 4688Prozesserstellung (4688)
SicherheitMicrosoft-Windows-Eventlog Ereignisprotokolldienstereignisse, die für den Sicherheitskanal spezifisch sind
Sicherheit 4672Spezielle Berechtigungen (Admin-äquivalenter Zugriff), die der neuen Anmeldung zugewiesen sind, mit Ausnahme von LocalSystem
Sicherheit 4732Neuer Benutzer zur lokalen Sicherheitsgruppe hinzugefügt
Sicherheit 4728Neuer Benutzer zur globalen Sicherheitsgruppe hinzugefügt
Sicherheit 4756Neuer Benutzer zur universellen Sicherheitsgruppe hinzugefügt
Sicherheit 4733Benutzer aus lokaler Administratorengruppe entfernt
Sicherheit 4886, 4887, 4888Zertifikatsdienste erhalten Zertifikatanforderung (4886), Genehmigt und Zertifikat ausgestellt (4887), Verweigerte Anforderung (4888)
Sicherheit 4720, 4722, 4725, 4726Neues Benutzerkonto erstellt(4720), Benutzerkonto aktiviert (4722), Benutzerkonto deaktiviert (4725), Benutzerkonto gelöscht (4726)
Sicherheit 4624Netzwerkanmeldeereignisse
Sicherheit 4880, 4881, 4896, 4898CA Dienst beendet (4880), CA Service Gestartet (4881), CA DB Zeile(n) gelöscht (4896), CA Vorlage geladen (4898)
Sicherheit 4634Abmeldeereignisse - für Netzwerkanmeldungsereignisse
Sicherheit 6272, 6280RRAS Ereignisse – nur auf IAS Microsoft-Server generiert
Sicherheit 4689Prozessbeendigung (4689)
Sicherheit 4648, 4776
 Lokale Anmeldeinformationen-Authentifizierungsereignisse (4776), Anmeldung mit expliziten Anmeldeinformationen (4648)
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCQHCA4&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language