可发送到Microsoft Sentinel的 Windows 安全事件集

使用 Windows 安全中心 事件数据连接器从 Windows 设备引入安全事件 (包括旧版) 时，可以从以下集中选择要收集的事件：

• 所有事件 - 从Windows 安全中心事件日志和 AppLocker 事件日志通道收集未筛选的完整事件集。 安全日志 (Windows Logs > Security 事件查看器) 记录登录、特权使用和策略更改等审核事件。 AppLocker 日志 (Application and Services Logs > Microsoft > Windows > AppLocker) 涵盖应用程序执行和安装策略。 此集 不包括 来自其他 Windows 事件日志（例如应用程序、系统或安装程序）的事件。

• 常见 - 用于审核的标准事件集。 此集中包含完整的用户审核线索。 例如，它包含用户登录和用户注销事件 (事件 ID 4624、4634) 。 还有一些审核操作，例如安全组更改、关键域控制器 Kerberos 操作和其他类型的事件，以符合接受的最佳做法。

  Common 事件集可能包含某些不太常见的事件类型。 这是因为 Common 集的主要点是将事件量减少到更易于管理的水平，同时保持完整的审核跟踪功能。

• 最小 - 一小组可能指示潜在威胁的事件。 此集不包含完整的审核线索。 它仅涵盖可能指示成功违规的事件，以及出现率非常低的其他重要事件。 例如，它包含成功和失败的用户登录 (事件 ID 4624、4625) ，但它不包含 (4634) 虽然对审核很重要，但对漏洞检测没有意义，并且其数量相对较高。 此集的大部分数据量由登录事件和进程创建事件组成， (事件 ID 4688) 。

• 自定义 - 由你、用户确定并在数据收集规则中使用 XPath 查询定义的一组事件。 详细了解数据收集规则。

事件 ID 引用

以下列表提供了每个集的安全和应用保险箱事件 ID 的完整细分：

后续步骤

本文档介绍了如何将 Windows 事件的集合筛选为Microsoft Sentinel。

• 详细了解如何 收集 Windows 安全事件。
• 开始使用内置规则或自定义规则通过Microsoft Sentinel检测威胁。