Windows 보안 이벤트 데이터 커넥터(레거시 버전 포함)를 사용하여 Windows 디바이스에서 보안 이벤트를 수집할 때 다음 집합 중에서 수집할 이벤트를 선택할 수 있습니다.
모든 이벤트 - Windows 보안 이벤트 로그 및 AppLocker 이벤트 로그 채널에서 필터링되지 않은 전체 이벤트 집합을 수집합니다. 보안 로그(
Windows Logs > Security이벤트 뷰어)는 로그온, 권한 사용 및 정책 변경과 같은 감사 이벤트를 기록합니다. AppLocker 로그(Application and Services Logs > Microsoft > Windows > AppLocker)는 애플리케이션 실행 및 설치 정책을 다룹니다. 이 집합에는 애플리케이션 , 시스템 또는 설정과 같은 다른 Windows 이벤트 로그의 이벤트가 포함되지 않습니다.공통 - 감사 목적으로 사용되는 표준 이벤트 집합입니다. 전체 사용자 감사 내역이 이 집합에 포함됩니다. 예를 들어 사용자 로그인 및 사용자 로그아웃 이벤트(이벤트 ID 4624, 4634)가 모두 포함됩니다. 허용된 모범 사례에 따라 보안 그룹 변경, 주요 도메인 컨트롤러 Kerberos 작업 및 기타 유형의 이벤트와 같은 감사 작업도 있습니다.
Common 이벤트 집합에는 일반적이지 않은 일부 유형의 이벤트가 포함될 수 있습니다. 공통 집합의 주요 요점은 전체 감사 추적 기능을 유지하면서 이벤트의 볼륨을 보다 관리하기 쉬운 수준으로 줄이는 것입니다.
최소 - 잠재적 위협을 나타낼 수 있는 작은 이벤트 집합입니다. 이 집합에는 전체 감사 내역이 포함되어 있지 않습니다. 성공적인 위반을 나타낼 수 있는 이벤트와 발생률이 매우 낮은 기타 중요한 이벤트만 다룹니다. 예를 들어 성공 및 실패한 사용자 로그온(이벤트 ID 4624, 4625)을 포함하지만 감사에 중요하지만 위반 검색에 의미가 없고 볼륨이 상대적으로 많은 로그아웃 정보(4634)는 포함되지 않습니다. 이 집합의 대부분의 데이터 볼륨은 로그인 이벤트 및 프로세스 생성 이벤트(이벤트 ID 4688)로 구성됩니다.
사용자 지정 - 사용자, 사용자가 결정하고 XPath 쿼리를 사용하여 데이터 수집 규칙에 정의된 이벤트 집합입니다. 데이터 수집 규칙에 대해 자세히 알아보세요.
이벤트 ID 참조
다음 목록에서는 각 집합에 대한 보안 및 App Locker 이벤트 ID에 대한 전체 분석을 제공합니다.
| 이벤트 집합 | 수집된 이벤트 ID |
|---|---|
| 최소 | 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 |
| 공통 | 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
다음 단계
이 문서에서는 Windows 이벤트 컬렉션을 Microsoft Sentinel 필터링하는 방법을 알아보았습니다.
- Windows 보안 이벤트 수집에 대해 자세히 알아보세요.
- 기본 제공 또는 사용자 지정 규칙을 사용하여 Microsoft Sentinel 위협 검색을 시작합니다.