Microsoft Windows Defender Antivirus
Microsoft Windows Defender Antivirus是一款防恶意软件,可以保护用户免受软件威胁。InsightIDR自动从部署在Windows端点上的代理收集Microsoft Windows Defender防病毒事件。默认情况下,值得注意的行为将由Windows Defender事件生成。如果您想配置警报,请导航到设置>提醒设置>病毒警报.
Microsoft系统中心端点保护事件
如果您正在使用Microsoft System Center Endpoint Protection (SCEP),并且事件被写入Windows Defender Antivirus操作日志,那么Microsoft SCEP将以与Windows Defender相同的方式收集这些事件。
它是如何工作的
在安装Rapid7 Insight代理的所有Windows端点上,代理收集Defen必威体育app登录der AntiVirus操作Windows事件日志的日志条目。您可以使用事件查看器查看Windows主机上的此事件日志应用和服务日志>微软>窗户>微软后卫杀毒>操作.
您可以了解更多有关此Microsoft Windows事件日志的信息:https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/troubleshoot-microsoft-defender-antivirus#windows-defender-antivirus-eventsids。
如果Insig必威体育app登录ht Agent发现新事件正在写入此Windows事件日志,则Insight Agent将收集它们并将它们发送给InsightIDR。InsightIDR中不需要添加事件源,也不需要配置。
查看Insutigridr中的日志
Windows防御者的日志根据事件流向不同的日志集。Insight Agent无法识别的Windows Defender事件将被发送到Unparsed Data日必威体育app登录志集。洞察代理必威体育app登录识别某些事件代码并将它们发送到InsightIDR,在那里它们将进入病毒警报日志集。
流入未解析数据日志集的事件代码
1001、1002、1003、1004、1005、1009、1010、1011、1012、1013、1014、1120、1150、1151、2000、2001、2002、2003、2004、2005、2006、2007、2010、2011、2012、2013、2020、2021、2030、2031、2040、2041、2042、3002、3007、5000、5001、5004、5007、5008、5009、5010、5011、5012、5100、5101
要查看这些事件,请单击日志搜索>未解析的数据.
流入病毒警报日志集的事件代码
1006, 1007, 1008, 1015, 1116, 1117, 1118, 1119
要查看这些事件,请单击日志搜索>病毒警报.
示例输入日志
json
1
{
2
“时间戳”:“2020-07-02T18:07:00.006z”,
3.
“资产”:“xyz”,
4
“用户”:“abc”,
5
“source_address”:“xyz”,
6
“账户”:“系统”,
7
“风险”:“TrojanDropper:根据/ Swrort。一个“,
8
“行动”:“不采取行动”,
9
“file_path”:“containerfile: _C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp;文件:_C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp - > (SCRIPT0001)”,
10
“action_status”:“成功”,
11
“error_code”:“0 x00000000”,
12
“error_description”:“手术成功完成。”,
13
“source_json”:{
14
“sourceName”:“Microsoft-Windows-Windows Defender”,
15
“eventCode”:1117,
16
“computerName”:“XYZ”,
17
“席德”:“S-1-5-18”,
18
“IsdomainController”:假,
19
“eventData”:{
20.
“severityName”:“严重”,
21
“unused2”:零,
22
“sourceName”:“% % 818”,
23
“executionId”:“1”,
24
“Detectenser”:“NT AUTHORITY) \ \系统”,
25
“typeid”:“0”,
26
“错误代码”:“0 x00000000”,
27
“categoryName”:“木马滴管”,
28
“signatureVersion”:“AV:1.319.590.0,AS:1.319.590.0,NIS:1.319.590.0”,
29
“preexecutionstatus”:“0”,
30.
“productVersion”:“4.18.2006.10”,
31
“unused4”:零,
32
“动作”:“9”,
33
“errorDescription”:“手术成功完成。”,
34
“未使用”:零,
35
“unused5”:零,
36
“状态”:“1”,
37
“数据”:[],
38
“executionName”:“% % 813”,
39
“additionalActionsString”:“不需要额外的操作”,
40
“actionname”:“% % 887”,
41
“unused6”:零,
42
“typeName”:“% % 822”,
43
“detectionId”:“{1 e0d6418 a6a4 - 4214 b97d - 68 d25c126c89}”,
44
“severityId”:“5”,
45
“detectionTime”:“2020 - 06 - 22 t19:36:50.493z”,
46
“threatId”:“2147653574”,
47
“originId”:“1”,
48
“productName”:“% % 827”,
49
“remediationUser”:零,
50
“threatName”:“TrojanDropper:根据/ Swrort。一个“,
51
“statuscode”:“1”,
52
“postCleanStatus”:“0”,
53
“statusDescription”:零,
54
“被”:“37”,
55
“sourceId”:“3”,
56
“engineVersion”:" am: 1.1.172002, nis: 1.1.172002 ",
57
“unused3”:零,
58
“路径”:“containerfile: _C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp;文件:_C: \ \ Windows \ \ SysWOW64 \ \ config \ \ systemprofile \ \ AppData当地\ \ \ \ \ \ Windows \ \ INetCache微软IE \ \ \ \ fHrHNHk8t [1] asp - > (SCRIPT0001)”,
59
“processName”:“processName”,
60
“originName”:“% % 845”,
61
“fwlink”:“https://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDropper:根据/ Swrort.A&threatid = 2147653574、= 0 ",
62
“additionalActionsId”:“0”
63
},
64
“Timewritten”:“2020 - 07 - 02 - t18:07:00.006792800z”
65
}
66
}