Microsoft Windows Defender Antivirus
Microsoft Windows Defender Antivirus是一款防恶意软件,可以保护用户免受软件威胁。InsightIDR自动从部署在Windows端点上的代理收集Microsoft Windows Defender防病毒事件。默认情况下,值得注意的行为将由Windows Defender事件生成。如果您想配置警报,请导航到设置>提醒设置>病毒警报.
Microsoft系统中心端点保护事件
如果您正在使用Microsoft System Center Endpoint Protection (SCEP),并且事件被写入Windows Defender Antivirus操作日志,那么Microsoft SCEP将以与Windows Defender相同的方式收集这些事件。
它是如何工作的
在安装Rapid7 Insight代理的所有Windows端点上,代理收集Defen必威体育app登录der AntiVirus操作Windows事件日志的日志条目。您可以使用事件查看器查看Windows主机上的此事件日志应用和服务日志>微软>窗户>微软后卫杀毒>操作.
您可以了解更多有关此Microsoft Windows事件日志的信息:https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/troubleshoot-microsoft-defender-antivirus#windows-defender-antivirus-eventsids。
如果Insig必威体育app登录ht Agent发现新事件正在写入此Windows事件日志,则Insight Agent将收集它们并将它们发送给InsightIDR。InsightIDR中不需要添加事件源,也不需要配置。
查看Insutigridr中的日志
Windows防御者的日志根据事件流向不同的日志集。Insight Agent无法识别的Windows Defender事件将被发送到Unparsed Data日必威体育app登录志集。洞察代理必威体育app登录识别某些事件代码并将它们发送到InsightIDR,在那里它们将进入病毒警报日志集。
流入未解析数据日志集的事件代码
1001、1002、1003、1004、1005、1009、1010、1011、1012、1013、1014、1120、1150、1151、2000、2001、2002、2003、2004、2005、2006、2007、2010、2011、2012、2013、2020、2021、2030、2031、2040、2041、2042、3002、3007、5000、5001、5004、5007、5008、5009、5010、5011、5012、5100、5101
要查看这些事件,请单击日志搜索>未解析的数据.
流入病毒警报日志集的事件代码
1006, 1007, 1008, 1015, 1116, 1117, 1118, 1119
要查看这些事件,请单击日志搜索>病毒警报.
示例输入日志
json
1{2“时间戳”:“2020-07-02T18:07:00.006z”,3.“资产”:“xyz”,4“用户”:“abc”,5“source_address”:“xyz”,6“账户”:“系统”,7“风险”:“TrojanDropper:根据/ Swrort。一个“,8“行动”:“不采取行动”,9“file_path”:“containerfile: _C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp;文件:_C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp - > (SCRIPT0001)”,10“action_status”:“成功”,11“error_code”:“0 x00000000”,12“error_description”:“手术成功完成。”,13“source_json”:{14“sourceName”:“Microsoft-Windows-Windows Defender”,15“eventCode”:1117,16“computerName”:“XYZ”,17“席德”:“S-1-5-18”,18“IsdomainController”:假,19“eventData”:{20.“severityName”:“严重”,21“unused2”:零,22“sourceName”:“% % 818”,23“executionId”:“1”,24“Detectenser”:“NT AUTHORITY) \ \系统”,25“typeid”:“0”,26“错误代码”:“0 x00000000”,27“categoryName”:“木马滴管”,28“signatureVersion”:“AV:1.319.590.0,AS:1.319.590.0,NIS:1.319.590.0”,29“preexecutionstatus”:“0”,30.“productVersion”:“4.18.2006.10”,31“unused4”:零,32“动作”:“9”,33“errorDescription”:“手术成功完成。”,34“未使用”:零,35“unused5”:零,36“状态”:“1”,37“数据”:[],38“executionName”:“% % 813”,39“additionalActionsString”:“不需要额外的操作”,40“actionname”:“% % 887”,41“unused6”:零,42“typeName”:“% % 822”,43“detectionId”:“{1 e0d6418 a6a4 - 4214 b97d - 68 d25c126c89}”,44“severityId”:“5”,45“detectionTime”:“2020 - 06 - 22 t19:36:50.493z”,46“threatId”:“2147653574”,47“originId”:“1”,48“productName”:“% % 827”,49“remediationUser”:零,50“threatName”:“TrojanDropper:根据/ Swrort。一个“,51“statuscode”:“1”,52“postCleanStatus”:“0”,53“statusDescription”:零,54“被”:“37”,55“sourceId”:“3”,56“engineVersion”:" am: 1.1.172002, nis: 1.1.172002 ",57“unused3”:零,58“路径”:“containerfile: _C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp;文件:_C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp - > (SCRIPT0001)”,59“processName”:“processName”,60“originName”:“% % 845”,61“fwlink”:“https://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDropper:根据/ Swrort.A&threatid = 2147653574、= 0 ",62“additionalActionsId”:“0”63},64“Timewritten”:“2020 - 07 - 02 - t18:07:00.006792800z”65}66}