Cortex XDR - Evento de Windows por herramienta de recogida
9980
Created On 01/19/21 08:28 AM - Last Modified 04/23/24 00:17 AM
Question
¿Qué eventos recopila cada herramienta?
Environment
Windows OS
Answer
| Seguridad | Protocolo de autenticación Kerberos | 4768 |
| Seguridad | Solicitud de ticket de servicio Kerberos | 4769 |
| Seguridad | Renovación del ticket de servicio Kerberos | 4770 |
| Seguridad | Error de autenticación previa de Kerberos | 4771 |
| Seguridad | El equipo intentó validar las credenciales de una cuenta | 4776 |
| Seguridad | Una cuenta se ha iniciado sesión correctamente | 4624 |
| Seguridad | Una cuenta se cerró correctamente | 4634 |
| Seguridad | A el inicio de sesión se intentó usar credenciales explícitas | 4648 |
| Seguridad | Privilegios especiales asignados al nuevo inicio de sesión | 4672 |
| Seguridad | A cuenta de usuario se creó | 4720 |
| Seguridad | A cuenta de usuario se ha habilitado | 4722 |
| Seguridad | Se ha intentado cambiar la contraseña de una cuenta | 4723 |
| Seguridad | Se ha intentado restablecer la contraseña de una cuenta | 4724 |
| Seguridad | A cuenta de usuario se deshabilitó | 4725 |
| Seguridad | A cuenta de usuario se eliminó | 4726 |
| Seguridad | A cuenta de usuario se cambió | 4738 |
| Seguridad | A cuenta de usuario se bloqueó | 4740 |
| Seguridad | A cuenta de usuario se desbloqueó | 4767 |
| Seguridad | Se ACL estableció en cuentas que son miembros de grupos de administradores | 4780 |
| Seguridad | Se ha cambiado el nombre de una cuenta | 4781 |
| Seguridad | Se ha intentado establecer la contraseña de administrador del modo de restauración de servicios de directorio | 4794 |
A continuación se muestra la lista de eventos que está recopilando el VM WEC Bróker:
La mayoría de los eventos son recopilados por la EDR recopilación de datos, (siguiente lista):
| Aplicación | Servicio de perfiles de usuario de Microsoft Windows | 1511, 1518 | Inicio de sesión de usuario con perfil temporal (1511), No se puede crear un perfil con el perfil temporal (1518) | ||
| Aplicación | Error de aplicación | 1000 | Eventos de bloqueo/bloqueo de aplicaciones, similares a WER /1001. Estos incluyen la ruta completa a la falla EXE /Module | ||
| Aplicación | Bloqueo de aplicación | 1002 | Eventos de bloqueo/bloqueo de aplicaciones, similares a WER /1001. Estos incluyen la ruta completa a la falla EXE /Module | ||
| Microsoft-Windows-CAPI2/Operational | 11, 70, 90 | CAPI eventos Cadena de compilación (11), Clave privada a la que se accede (70), objeto X509 (90) | |||
| Microsoft-Windows- DNS- Cliente/Operativo | 3008 | DNS Consulta completada (3008) sin equipo local, eventos de resolución y sin eventos de resolución de nombres vacíos | |||
| Microsoft-Windows-DriverFrameworks-UserMode/Operational | 2004 | Detectar controladores de modo de usuario cargados - para una posible detección incorrecta USB | |||
| Microsoft-Windows-PowerShell/Operational | 4103, 4104, 4105, 4106 | PowerShell ejecuta la actividad de bloque (4103), Comando remoto (4104), Comando de inicio (4105), Comando de detención (4106) | |||
| Programador de tareas/Operativo de Microsoft-Windows | Programador de tareas de Microsoft-Windows | 106, 129, 141, 142, 200, 201 | |||
| Microsoft-Windows-TerminalServices-RDPClient/Operational | 1024 | Log intentó TS conectarse al servidor remoto | |||
| Microsoft-Windows-Windows Defender/Operativo | 1006, 1009 | Eventos de detección del proveedor de eventos modernos de Windows Defender (1006 y 1009) | |||
| Microsoft-Windows-Windows Defender/Operativo | 1116, 1119 |
| |||
| Microsoft-Windows-Windows Firewall con seguridad avanzada/Firewall | Microsoft-Windows-Windows Firewall con seguridad avanzada | 2004, 2005, 2006, 2009, 2033 | Windows Firewall con modificaciones locales de seguridad avanzadas (niveles 0, 2, 4) | ||
| Seguridad | 4698, 4702 | ||||
| Seguridad | 4778, 4779 | TS Reconectación de sesión (4778), TS Desconexión de sesión (4779) | |||
| Seguridad | 5140 | Acceso a objetos de acciones de red sin IPC acciones de $ y Netlogon | |||
| Seguridad | 5140, 5142, 5144, 5145 | Creación de recurso compartido de red (5142), Eliminación de recurso compartido de red (5144), A objeto de recurso compartido de red se comprobó para ver si se puede conceder acceso deseado al cliente (5145), Acceso a objetos de recurso compartido de red (5140) | |||
| Seguridad | 4616 | Cambio de hora del sistema (4616) | |||
| Seguridad | 4624 | Inicios de sesión locales sin eventos de red o servicio | |||
| Seguridad | 1100, 1102 | Eventos borrados del registro de seguridad (1102), cierre del servicio EventLog (1100) | |||
| Seguridad | 4647 | Cierre de sesión iniciado por el usuario | |||
| Seguridad | 4634 | Cierre de sesión de usuario para todas las sesiones de inicio de sesión que no son de red | |||
| Seguridad | 4624 | Eventos de inicio de sesión de servicio si la cuenta de usuario no es LocalSystem, NetworkService, LocalService | |||
| Seguridad | 5142, 5144 | Creación de recursos compartidos de red (5142), Eliminación de recursos compartidos de red (5144) | |||
| Seguridad | 4688 | Creación de procesos (4688) | |||
| Seguridad | Microsoft-Windows-Eventlog | Eventos de servicio de registro de eventos específicos del canal de seguridad | |||
| Seguridad | 4672 | Privilegios especiales (acceso equivalente al administrador) asignados al nuevo inicio de sesión, excluyendo LocalSystem | |||
| Seguridad | 4732 | Nuevo usuario agregado al grupo de seguridad local | |||
| Seguridad | 4728 | Nuevo usuario agregado al grupo de seguridad global | |||
| Seguridad | 4756 | Nuevo usuario añadido al grupo de seguridad universal | |||
| Seguridad | 4733 | Usuario eliminado del grupo Administradores local | |||
| Seguridad | 4886, 4887, 4888 | Servicios de Certificate Server recibió solicitud de certificado (4886), Aprobado y certificado emitido (4887), Solicitud denegada (4888) | |||
| Seguridad | 4720, 4722, 4725, 4726 | Nueva cuenta de usuario creada(4720), cuenta de usuario habilitada (4722), cuenta de usuario deshabilitada (4725), cuenta de usuario eliminada (4726) | |||
| Seguridad | 4624 | Eventos de inicio de sesión en red | |||
| Seguridad | 4880, 4881, 4896, 4898 | CA Servicio detenido (4880), CA Servicio iniciado (4881), CA DB filas eliminadas (4896), CA Plantilla cargada (4898) | |||
| Seguridad | 4634 | Eventos de cierre de sesión: para eventos de inicio de sesión de red | |||
| Seguridad | 6272, 6280 | RRAS eventos : solo generados en el servidor de Microsoft IAS | |||
| Seguridad | 4689 | Terminación del proceso (4689) | |||
| Seguridad | 4648, 4776 |
|