Cortex XDR - Événement Windows par outil de collecte
10030
Created On 01/19/21 08:28 AM - Last Modified 04/23/24 00:17 AM
Question
Quels événements sont collectés par chaque outil ?
Environment
Windows OS
Answer
| Sécurité | Protocole d’authentification Kerberos | 4768 |
| Sécurité | Demande de billet de service Kerberos | 4769 |
| Sécurité | Renouvellement du billet de service Kerberos | 4770 |
| Sécurité | Kerberos pré-authentification a échoué | 4771 |
| Sécurité | L’ordinateur a tenté de valider les informations d’identification d’un compte | 4776 |
| Sécurité | Un compte a été connecté avec succès | 4624 |
| Sécurité | Un compte a été enregistré avec succès | 4634 |
| Sécurité | A logon a été tenté à l’aide d’informations d’identification explicites | 4648 |
| Sécurité | Privilèges spéciaux attribués au nouveau logon | 4672 |
| Sécurité | A compte utilisateur a été créé | 4720 |
| Sécurité | A compte utilisateur a été activé | 4722 |
| Sécurité | Une tentative a été faite pour changer le mot de passe d’un compte | 4723 |
| Sécurité | Une tentative a été faite pour réinitialiser le mot de passe d’un compte | 4724 |
| Sécurité | A compte utilisateur a été désactivé | 4725 |
| Sécurité | A compte utilisateur a été supprimé | 4726 |
| Sécurité | A compte utilisateur a été modifié | 4738 |
| Sécurité | A compte utilisateur a été verrouillé | 4740 |
| Sécurité | A compte utilisateur a été déverrouillé | 4767 |
| Sécurité | Le ACL a été fixé sur les comptes qui sont membres de groupes d’administrateurs | 4780 |
| Sécurité | Le nom d’un compte a été modifié | 4781 |
| Sécurité | Une tentative a été faite pour définir le mot de passe de l’administrateur de l’administrateur de service de restauration d’annuaire | 4794 |
Voici la liste des événements qui est recueillie par le courtier VM WEC :
La plupart des événements sont recueillis par la collecte de EDR données (liste ci-dessous) :
| Application | Service de profils Microsoft-Windows-Utilisateur | 1511, 1518 | Utilisateur se connectant avec profil temporaire (1511), Ne peut pas créer de profil en utilisant le profil temporaire (1518) | ||
| Application | Erreur d’application | 1000 | Crash d’application/hang events, similaire WER à /1001. Ceux-ci incluent le chemin complet à la faute EXE /Module | ||
| Application | Pendre l’application | 1002 | Crash d’application/hang events, similaire WER à /1001. Ceux-ci incluent le chemin complet à la faute EXE /Module | ||
| Microsoft-Windows-CAPI2/Opérationnel | 11, 70, 90 | CAPI événements Build Chain (11), Private Key accessible (70), X509 objet (90) | |||
| Microsoft-Windows- DNS- Client/Opérationnel | 3008 | DNS Requête terminée (3008) sans machine locale, événements de résolution et sans événements de résolution de nom vides | |||
| Microsoft-Windows-DriverFrameworks-UserMode/Opérationnel | 2004 | Détecter les pilotes en mode utilisateur chargés - pour détection de mauvaises USB potentielles | |||
| Microsoft-Windows-PowerShell/Opérationnel | 4103, 4104, 4105, 4106 | PowerShell exécuter l’activité de bloc (4103), commande à distance (4104), commande de démarrage (4105), stop command (4106) | |||
| Microsoft-Windows-Task Scheduler/Opérationnel | Calendrier Microsoft-Windows-Task | 106, 129, 141, 142, 200, 201 | |||
| Microsoft-Windows-TerminalServices-RDPClient/Opérationnel | 1024 | Journal tenté de TS se connecter à un serveur distant | |||
| Microsoft-Windows-Windows Defender/Opérationnel | 1006, 1009 | Événements modernes de détection de fournisseur d’événements Windows Defender (1006 et 1009) | |||
| Microsoft-Windows-Windows Defender/Opérationnel | 1116, 1119 |
| |||
| Microsoft-Windows-Windows Firewall avec une sécurité avancée/Firewall | Microsoft-Windows-Windows Firewall avec une sécurité avancée | 2004, 2005, 2006, 2009, 2033 | Fenêtres Firewall avec des modifications locales de sécurité avancées (niveaux 0, 2, 4) | ||
| Sécurité | 4698, 4702 | ||||
| Sécurité | 4778, 4779 | TS Reconnecter session (4778), TS Déconnexion session (4779) | |||
| Sécurité | 5140 | Accès à l’objet d’actions IPC réseau sans $ et actions Netlogon | |||
| Sécurité | 5140, 5142, 5144, 5145 | Création de partage réseau (5142), suppression de partage réseau (5144), objet de partage de réseau a été vérifié pour voir A si le client peut obtenir l’accès souhaité (5145), accès aux objets de partage réseau (5140) | |||
| Sécurité | 4616 | Changement d’heure du système (4616) | |||
| Sécurité | 4624 | Logons locaux sans événements réseau ou de service | |||
| Sécurité | 1100, 1102 | Journal de sécurité effacé événements (1102), arrêt du service EventLog (1100) | |||
| Sécurité | 4647 | Connexion initiée par l’utilisateur | |||
| Sécurité | 4634 | Connexion utilisateur pour toutes les sessions de logons non réseau | |||
| Sécurité | 4624 | Événements logon de service si le compte utilisateur n’est pas LocalSystem, NetworkService, LocalService | |||
| Sécurité | 5142, 5144 | Création de partage réseau (5142), suppression de partage réseau (5144) | |||
| Sécurité | 4688 | Création de processus (4688) | |||
| Sécurité | Microsoft-Windows-Eventlog | Événements de service de journal d’événements spécifiques au canal de sécurité | |||
| Sécurité | 4672 | Privilèges spéciaux (accès équivalent admin) attribués au nouveau logon, à l’exclusion de LocalSystem | |||
| Sécurité | 4732 | Nouvel utilisateur ajouté au groupe de sécurité local | |||
| Sécurité | 4728 | Nouvel utilisateur ajouté au groupe de sécurité mondial | |||
| Sécurité | 4756 | Nouvel utilisateur ajouté au groupe de sécurité universelle | |||
| Sécurité | 4733 | Utilisateur supprimé du groupe d’administrateurs locaux | |||
| Sécurité | 4886, 4887, 4888 | Les services de certificat ont reçu une demande de certificat (4886), approuvé et certificat délivré (4887), demande refusée (4888) | |||
| Sécurité | 4720, 4722, 4725, 4726 | Nouveau compte utilisateur créé (4720), compte utilisateur activé (4722), compte utilisateur désactivé (4725), compte utilisateur supprimé (4726) | |||
| Sécurité | 4624 | Événements logons réseau | |||
| Sécurité | 4880, 4881, 4896, 4898 | CA Service arrêté (4880), CA service démarré (4881), CA DB ligne (s) supprimé (4896), CA modèle chargé (4898) | |||
| Sécurité | 4634 | Événements logoff - pour les événements Logon réseau | |||
| Sécurité | 6272, 6280 | RRAS événements – uniquement générés sur le serveur IAS Microsoft | |||
| Sécurité | 4689 | Fin du processus (4689) | |||
| Sécurité | 4648, 4776 |
|