Cortex XDR - 収集ツールごとのウィンドウイベント
10002
Created On 01/19/21 08:28 AM - Last Modified 04/23/24 00:17 AM
Question
各ツールによって収集されたイベントはどれですか。
Environment
Windows OS
Answer
| セキュリティ | Kerberos 認証プロトコル | 4768 |
| セキュリティ | Kerberos サービス チケット要求 | 4769 |
| セキュリティ | Kerberos サービス チケットの更新 | 4770 |
| セキュリティ | Kerberos 事前認証に失敗しました | 4771 |
| セキュリティ | コンピュータがアカウントの資格情報を検証しようとしました | 4776 |
| セキュリティ | アカウントが正常にログオンしました | 4624 |
| セキュリティ | アカウントが正常にログオフされました | 4634 |
| セキュリティ | A 明示的な資格情報を使用してログオンしようとしました | 4648 |
| セキュリティ | 新しいログオンに割り当てられる特別な特権 | 4672 |
| セキュリティ | A ユーザー アカウントが作成されました | 4720 |
| セキュリティ | A ユーザー アカウントが有効になりました | 4722 |
| セキュリティ | アカウントのパスワードを変更しようとしました | 4723 |
| セキュリティ | アカウントのパスワードをリセットしようとしました | 4724 |
| セキュリティ | A ユーザー アカウントが無効になりました | 4725 |
| セキュリティ | A ユーザー アカウントが削除されました | 4726 |
| セキュリティ | A ユーザー アカウントが変更されました | 4738 |
| セキュリティ | A ユーザー アカウントはロックアウトされました | 4740 |
| セキュリティ | A ユーザー アカウントのロックが解除されました | 4767 |
| セキュリティ | ACL管理者グループのメンバであるアカウントに設定されました | 4780 |
| セキュリティ | アカウントの名前が変更されました | 4781 |
| セキュリティ | ディレクトリ サービス復元モードの管理者パスワードを設定しようとしました | 4794 |
以下はブローカーによって収集されているイベントリストです VM WEC :
イベントのほとんどはデータ収集によって収集されます EDR (以下のリスト)。
| アプリケーション | マイクロソフト-Windows-ユーザー プロファイル サービス | 1511, 1518 | 一時プロファイル (1511) でユーザーがログオンし、一時プロファイルを使用してプロファイルを作成できない (1518) | ||
| アプリケーション | アプリケーション エラー | 1000 | /1001 と同様のアプリケーションのクラッシュ/ハング イベント WER 。 これには、障害のある /モジュールへのフル パスが含まれます EXE 。 | ||
| アプリケーション | アプリケーションハング | 1002 | /1001 と同様のアプリケーションのクラッシュ/ハング イベント WER 。 これには、障害のある /モジュールへのフル パスが含まれます EXE 。 | ||
| マイクロソフト-ウィンドウズキャピ2/オペレーショナル | 11, 70, 90 | CAPI イベント ビルド チェーン (11)、アクセスされた秘密キー (70)、X509 オブジェクト (90) | |||
| マイクロソフト-ウィンドウズ - DNS- クライアント/オペレーショナル | 3008 | DNS ローカル マシン、解決イベント、および空の名前解決イベントなしのクエリ完了 (3008) | |||
| マイクロソフト-ドライバーフレームワーク - ユーザーモード/操作 | 2004 | 読み込まれたユーザー モード ドライバーを検出する - 潜在的な不正 USB 検出 | |||
| マイクロソフト-ウィンドウズパワーシェル/オペレーショナル | 4103, 4104, 4105, 4106 | PowerShell 実行ブロック アクティビティ (4103)、リモート コマンド (4104)、コマンドの開始 (4105)、コマンドの停止 (4106) | |||
| マイクロソフト-Windows-タスクスケジューラ/操作 | マイクロソフト-Windows -タスクスケジューラ | 106, 129, 141, 142, 200, 201 | |||
| マイクロソフト-Windows ターミナル サービス -RDP クライアント/操作中 | 1024 | リモート TS サーバーへの接続を試行したログを記録します | |||
| マイクロソフトウィンドウズディフェンダー/オペレーショナル | 1006, 1009 | 最新の Windows Defender イベント プロバイダーの検出イベント (1006 および 1009) | |||
| マイクロソフトウィンドウズディフェンダー/オペレーショナル | 1116, 1119 |
| |||
| Firewall高度なセキュリティを備えたマイクロソフト-ウィンドウズ/Firewall | Firewall高度なセキュリティを備えたマイクロソフトのウィンドウズ | 2004, 2005, 2006, 2009, 2033 | Firewall高度なセキュリティローカル変更を含む Windows (レベル 0、2、4) | ||
| セキュリティ | 4698, 4702 | ||||
| セキュリティ | 4778, 4779 | TS セッション再接続(4778)、 TS セッション切断(4779) | |||
| セキュリティ | 5140 | $ および Netlogon 共有を使用しないネットワーク共有オブジェクト アクセス IPC | |||
| セキュリティ | 5140, 5142, 5144, 5145 | ネットワーク共有の作成 (5142)、ネットワーク共有削除 (5144)、 A ネットワーク共有オブジェクトは、クライアントが必要なアクセス (5145)、ネットワーク共有オブジェクト アクセス (5140) を許可できるかどうかを確認するためにチェックされました。 | |||
| セキュリティ | 4616 | システム時刻の変更 (4616) | |||
| セキュリティ | 4624 | ネットワークまたはサービス イベントのないローカル ログオン | |||
| セキュリティ | 1100, 1102 | セキュリティ ログのクリア イベント (1102)、イベント ログ サービスのシャットダウン (1100) | |||
| セキュリティ | 4647 | ユーザーが開始したログオフ | |||
| セキュリティ | 4634 | ネットワーク以外のすべてのログオン セッションのユーザーログオフ | |||
| セキュリティ | 4624 | ユーザー アカウントがローカル システム、ネットワーク サービス、ローカル サービスでない場合は、サービス ログオン イベント | |||
| セキュリティ | 5142, 5144 | ネットワーク共有の作成 (5142)、ネットワーク共有の削除 (5144) | |||
| セキュリティ | 4688 | プロセス作成 (4688) | |||
| セキュリティ | マイクロソフト-ウィンドウズ -イベントログ | セキュリティ チャネル固有のイベント ログ サービス イベント | |||
| セキュリティ | 4672 | 新しいログオンに割り当てられた特別な特権 (管理者と同等のアクセス) (ローカル システムを除く) | |||
| セキュリティ | 4732 | ローカル セキュリティ グループに新しいユーザーが追加されました | |||
| セキュリティ | 4728 | グローバル セキュリティ グループに新しいユーザーが追加されました | |||
| セキュリティ | 4756 | ユニバーサル セキュリティ グループに新しいユーザーが追加されました | |||
| セキュリティ | 4733 | ローカル管理者グループから削除されたユーザー | |||
| セキュリティ | 4886, 4887, 4888 | 証明書サービスは、証明書要求 (4886)、承認済みおよび発行された証明書 (4887)、拒否された要求 (4888) を受信しました。 | |||
| セキュリティ | 4720, 4722, 4725, 4726 | 新しいユーザー アカウントが作成されました(4720)、ユーザー アカウントが有効 (4722)、ユーザー アカウントが無効 (4725)、ユーザー アカウントが削除されました (4726) | |||
| セキュリティ | 4624 | ネットワーク ログオン イベント | |||
| セキュリティ | 4880, 4881, 4896, 4898 | CA サービス停止 (4880)、 CA サービス開始(4881)、 CA DB 行削除(4896)、 CA テンプレートロード(4898) | |||
| セキュリティ | 4634 | ログオフ イベント - ネットワーク ログオン イベントの場合 | |||
| セキュリティ | 6272, 6280 | RRAS イベント – マイクロソフトサーバー上でのみ生成されます IAS 。 | |||
| セキュリティ | 4689 | プロセスの終了 (4689) | |||
| セキュリティ | 4648, 4776 |
|