Filtrar logs do Windows enviado para o Microsoft Sentinel

Recentemente eu escrevi um artigo sobre como receber os logs do AD on-premises no Microsoft Sentinel usando o Azure Monitor Agent (AMA) que permite usar regras de coleta de dados, onde você define quais dados deseja que cada agente colete.

Consulte o artigo Logs do AD on-premises no Microsoft Sentinel

Neste artigo vou explicar configurar uma regra de dados para selecionar os logs de eventos de segurança do Windows a ser coletados no Microsoft Sentinel.

Quais logs devo escolher receber ?

Quando estamos criando regras no “Create Data Collection Rule” temos 4 opções:

  • All events – Todos os eventos do Windows Security e do App Locker.
  • Common– Um conjunto padrão de eventos para fins de auditoria.
  • Minimal – Um pequeno conjunto de eventos que podem indicar ameaças potenciais. Ao habilitar esta opção, você não poderá ter uma trilha de auditoria completa.
  • Custom – permite filtrar e selecionar os eventos de segurança para transmitir usando consultas Xpath.

Os filtros customizados são criados usando as queries XPatch

Por exemplo, digamos que eu queira receber apenas os seguintes eventos:

4740A user account was locked out
4767A user account was unlocked
4735A privileged local group was modified
4737A privileged global group was modified
4755A privileged universal group was modified
4772A Kerberos authentication ticket request failed
4777The domain controller failed to validate the credentials of an account.
4782Password hash an account was accessed

Uma maneira muito simples de criar um filtro é usando o próprio Windows Event Viewer e selecionando os eventos listados:

Em seguida basta clicar na aba XML da janela que está gerando o filtro e copiar o XPath

“Security”>*[System[(EventID=4740 or EventID=4767 or EventID=4735 or EventID=4737 or EventID=4755 or EventID=4742 or EventID=4777 or EventID=4782)]]

No Microsoft Sentinel no conector WIndows Security Events via AMA, em “Create Data Collection Rule” basta colar o XPath copiado do Windows Event Viewer

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*