Microsoft Windows Defender Antivirus

Microsoft Windows Defender Antivirus是一款防恶意软件,可以保护用户免受软件威胁。InsightIDR自动从部署在Windows端点上的代理收集Microsoft Windows Defender防病毒事件。默认情况下,值得注意的行为将由Windows Defender事件生成。如果您想配置警报,请导航到设置>提醒设置>病毒警报

Microsoft系统中心端点保护事件

如果您正在使用Microsoft System Center Endpoint Protection (SCEP),并且事件被写入Windows Defender Antivirus操作日志,那么Microsoft SCEP将以与Windows Defender相同的方式收集这些事件。

它是如何工作的

在安装Rapid7 Insight代理的所有Windows端点上,代理收集Defen必威体育app登录der AntiVirus操作Windows事件日志的日志条目。您可以使用事件查看器查看Windows主机上的此事件日志应用和服务日志>微软>窗户>微软后卫杀毒>操作

您可以了解更多有关此Microsoft Windows事件日志的信息:https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/troubleshoot-microsoft-defender-antivirus#windows-defender-antivirus-eventsids。

如果Insig必威体育app登录ht Agent发现新事件正在写入此Windows事件日志,则Insight Agent将收集它们并将它们发送给InsightIDR。InsightIDR中不需要添加事件源,也不需要配置。

查看Insutigridr中的日志

Windows防御者的日志根据事件流向不同的日志集。Insight Agent无法识别的Windows Defender事件将被发送到Unparsed Data日必威体育app登录志集。洞察代理必威体育app登录识别某些事件代码并将它们发送到InsightIDR,在那里它们将进入病毒警报日志集。

流入未解析数据日志集的事件代码

1001、1002、1003、1004、1005、1009、1010、1011、1012、1013、1014、1120、1150、1151、2000、2001、2002、2003、2004、2005、2006、2007、2010、2011、2012、2013、2020、2021、2030、2031、2040、2041、2042、3002、3007、5000、5001、5004、5007、5008、5009、5010、5011、5012、5100、5101

要查看这些事件,请单击日志搜索>未解析的数据

未解析数据Windows防御

流入病毒警报日志集的事件代码

1006, 1007, 1008, 1015, 1116, 1117, 1118, 1119

要查看这些事件,请单击日志搜索>病毒警报

病毒警报Windows Defender

示例输入日志

         
json
1
2
“时间戳”“2020-07-02T18:07:00.006z”
3.
“资产”“xyz”
4
“用户”“abc”
5
“source_address”“xyz”
6
“账户”“系统”
7
“风险”“TrojanDropper:根据/ Swrort。一个“
8
“行动”“不采取行动”
9
“file_path”“containerfile: _C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp;文件:_C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp - > (SCRIPT0001)”
10
“action_status”“成功”
11
“error_code”“0 x00000000”
12
“error_description”“手术成功完成。”
13
“source_json”
14
“sourceName”“Microsoft-Windows-Windows Defender”
15
“eventCode”1117
16
“computerName”“XYZ”
17
“席德”“S-1-5-18”
18
“IsdomainController”
19
“eventData”
20.
“severityName”“严重”
21
“unused2”
22
“sourceName”“% % 818”
23
“executionId”“1”
24
“Detectenser”“NT AUTHORITY) \ \系统”
25
“typeid”“0”
26
“错误代码”“0 x00000000”
27
“categoryName”“木马滴管”
28
“signatureVersion”“AV:1.319.590.0,AS:1.319.590.0,NIS:1.319.590.0”
29
“preexecutionstatus”“0”
30.
“productVersion”“4.18.2006.10”
31
“unused4”
32
“动作”“9”
33
“errorDescription”“手术成功完成。”
34
“未使用”
35
“unused5”
36
“状态”“1”
37
“数据”
38
“executionName”“% % 813”
39
“additionalActionsString”“不需要额外的操作”
40
“actionname”“% % 887”
41
“unused6”
42
“typeName”“% % 822”
43
“detectionId”“{1 e0d6418 a6a4 - 4214 b97d - 68 d25c126c89}”
44
“severityId”“5”
45
“detectionTime”“2020 - 06 - 22 t19:36:50.493z”
46
“threatId”“2147653574”
47
“originId”“1”
48
“productName”“% % 827”
49
“remediationUser”
50
“threatName”“TrojanDropper:根据/ Swrort。一个“
51
“statuscode”“1”
52
“postCleanStatus”“0”
53
“statusDescription”
54
“被”“37”
55
“sourceId”“3”
56
“engineVersion”" am: 1.1.172002, nis: 1.1.172002 "
57
“unused3”
58
“路径”“containerfile: _C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp;文件:_C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp - > (SCRIPT0001)”
59
“processName”“processName”
60
“originName”“% % 845”
61
“fwlink”“https://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDropper:根据/ Swrort.A&threatid = 2147653574、= 0 "
62
“additionalActionsId”“0”
63
64
“Timewritten”“2020 - 07 - 02 - t18:07:00.006792800z”
65
66