Cortex XDR -每个收集工具的窗口事件
9988
Created On 01/19/21 08:28 AM - Last Modified 04/23/24 00:17 AM
Question
每个工具收集哪些事件?
Environment
窗户 OS
Answer
| 安全 | 克贝罗斯身份验证协议 | 4768 |
| 安全 | 克贝罗斯服务票证请求 | 4769 |
| 安全 | 克贝罗斯服务机票续订 | 4770 |
| 安全 | Kerberos 预身份验证失败 | 4771 |
| 安全 | 计算机尝试验证帐户的凭据 | 4776 |
| 安全 | 帐户已成功登录 | 4624 |
| 安全 | 已成功注销帐户 | 4634 |
| 安全 | A 登录尝试使用显式凭据 | 4648 |
| 安全 | 分配给新登录的特殊权限 | 4672 |
| 安全 | A 创建用户帐户 | 4720 |
| 安全 | A 已启用用户帐户 | 4722 |
| 安全 | 试图更改帐户的密码 | 4723 |
| 安全 | 尝试重置帐户的密码 | 4724 |
| 安全 | A 用户帐户已禁用 | 4725 |
| 安全 | A 用户帐户被删除 | 4726 |
| 安全 | A 用户帐户已更改 | 4738 |
| 安全 | A 用户帐户被锁定 | 4740 |
| 安全 | A 用户帐户已解锁 | 4767 |
| 安全 | ACL设置在管理员组成员的帐户上 | 4780 |
| 安全 | 帐户名称已更改 | 4781 |
| 安全 | 尝试设置目录服务还原模式管理员密码 | 4794 |
以下是经纪人正在收集的事件列表 VM WEC :
大多数事件都是通过数据收集收集的 EDR (下表):
| 应用程序 | 微软-视窗-用户配置文件服务 | 1511, 1518 | 使用临时配置文件 (1511) 登录的用户无法使用临时配置文件 (1518) 创建配置文件 | ||
| 应用程序 | 应用程序错误 | 1000 | 应用程序崩溃/挂事件,类似于 WER /1001。 其中包括故障/模块的完整路径 EXE | ||
| 应用程序 | 应用程序挂起 | 1002 | 应用程序崩溃/挂事件,类似于 WER /1001。 其中包括故障/模块的完整路径 EXE | ||
| 微软-视窗-CAPI2/运营 | 11, 70, 90 | CAPI 事件构建链 (11), 访问私钥 (70), X509 对象 (90) | |||
| 微软-视窗- DNS- 客户/运营 | 3008 | DNS 查询完成 (3008) 没有本地机,分辨率事件和无空名称解决事件 | |||
| 微软-视窗-驱动程序框架-用户模式/操作 | 2004 | 检测加载的用户模式驱动程序 - 以检测潜在的不良 USB 检测 | |||
| 微软-视窗-电源壳/操作 | 4103, 4104, 4105, 4106 | PowerShell 执行块活动 (4103),远程命令 (4104),启动命令 (4105),停止命令 (4106) | |||
| 微软-视窗任务调度程序/操作 | 微软-视窗任务调度程序 | 106, 129, 141, 142, 200, 201 | |||
| 微软-视窗终端服务-RDPClient/运营 | 1024 | 日志尝试 TS 连接到远程服务器 | |||
| 微软-视窗-视窗卫士/运营 | 1006, 1009 | 现代 Windows 防御者事件提供程序检测事件 (1006 和 1009) | |||
| 微软-视窗-视窗卫士/运营 | 1116, 1119 |
| |||
| 微软视窗 Firewall 具有高级安全性/Firewall | 微软视窗 Firewall 具有高级安全性 | 2004, 2005, 2006, 2009, 2033 | Firewall具有高级安全本地修改的窗口(级别 0、2、4) | ||
| 安全 | 4698, 4702 | ||||
| 安全 | 4778, 4779 | TS 会话重新连接 (4778), TS 会话断开 (4779) | |||
| 安全 | 5140 | 网络共享对象访问,无 IPC $和 Netlogon 股票 | |||
| 安全 | 5140, 5142, 5144, 5145 | 网络共享创建 (5142),网络共享删除 (5144), A 网络共享对象检查,看看客户端是否可以授予所需的访问权限 (5145),网络共享对象访问 (5140) | |||
| 安全 | 4616 | 系统时间变化 (4616) | |||
| 安全 | 4624 | 没有网络或服务事件的本地登录 | |||
| 安全 | 1100, 1102 | 安全日志清除事件 (1102),事件日志服务关闭 (1100) | |||
| 安全 | 4647 | 用户启动的注销 | |||
| 安全 | 4634 | 所有非网络登录会话的用户注销 | |||
| 安全 | 4624 | 如果用户帐户不是本地系统、网络服务、本地服务,则服务登录事件 | |||
| 安全 | 5142, 5144 | 网络共享创建 (5142),网络共享删除 (5144) | |||
| 安全 | 4688 | 流程创建 (4688) | |||
| 安全 | 微软-视窗事件日志 | 特定于安全通道的事件日志服务事件 | |||
| 安全 | 4672 | 分配给新登录(不包括本地系统)的特殊权限(管理员等效访问) | |||
| 安全 | 4732 | 添加到本地安全组的新用户 | |||
| 安全 | 4728 | 添加到全局安全组的新用户 | |||
| 安全 | 4756 | 添加到通用安全组的新用户 | |||
| 安全 | 4733 | 从本地管理员组中删除的用户 | |||
| 安全 | 4886, 4887, 4888 | 证书服务收到证书请求 (4886),已批准和证书颁发 (4887),被拒绝请求 (4888) | |||
| 安全 | 4720, 4722, 4725, 4726 | 已创建新用户帐户(4720)、已启用用户帐户(4722)、用户帐户已禁用(4725)、用户帐户已删除(4726) | |||
| 安全 | 4624 | 网络登录事件 | |||
| 安全 | 4880, 4881, 4896, 4898 | CA 服务停止 (4880), CA 服务开始 (4881), CA DB 行 (s) 删除 (4896), CA 加载模板 (4898) | |||
| 安全 | 4634 | 注销事件 - 用于网络登录事件 | |||
| 安全 | 6272, 6280 | RRAS 事件–仅在微软服务器上生成 IAS | |||
| 安全 | 4689 | 进程终止 (4689) | |||
| 安全 | 4648, 4776 |
|