Die folgende Tabelle listet die von dem Endpunkt-Agent überwachte und gesammelte Windows-Telemetrie
auf.
Weitere Informationen zur Zuordnung von eventId und eventSubId in XDR Data Explorer finden Sie unter eventId- und eventSubId-Zuordnung.
|
Kategorie
|
Unterkategorie
|
Details
|
|
Prozessaktivität
|
Prozesserstellung
|
Über Standard-Einstellungen gesammelt
|
|
Prozessbeendigung
|
Erfordert das Aktivieren des hypersensitiven Modus
|
|
|
Prozesszugriff
|
Über Standard-Einstellungen gesammelt
|
|
|
Bild/Bibliothek geladen
|
Über Standard-Einstellungen gesammelt
|
|
|
Erstellung eines Remote-Threads
|
Über Standard-Einstellungen gesammelt
|
|
|
Aktivität der Prozessmanipulation
|
Über Standard-Einstellungen gesammelt
|
|
|
DATEIMANIPULATION
|
Dateierstellung
|
Über Standard-Einstellungen gesammelt
|
|
Datei geöffnet
|
Erfordert das Aktivieren des hypersensitiven Modus
|
|
|
Datei löschen
|
Erfordert das Aktivieren des hypersensitiven Modus
|
|
|
Dateiänderung
|
Über Standard-Einstellungen gesammelt
|
|
|
Dateiumbenennung
|
Über Standard-Einstellungen gesammelt
|
|
|
BENUTZERKONTO-AKTIVITÄT
|
Lokale Kontoerstellung
|
Erfordert das Aktivieren des hypersensitiven Modus
Erfasst über Windows-Ereignis-ID 4720.
|
|
Lokale Kontenänderung
|
Erfordert das Aktivieren des hypersensitiven Modus
Gesammelt über Windows-Ereignis-ID 4738.
|
|
|
Löschen des lokalen Kontos
|
Erfordert das Aktivieren des hypersensitiven Modus
|
|
|
Anmeldung des Kontos
|
Gesammelt über Windows-Ereignisprotokolle
Erfasst über Windows-Ereignis-ID 4624.
|
|
|
Abmeldung des Kontos
|
Gesammelt über Windows-Ereignisprotokolle
Erfasst über Windows-Ereignis-ID 4634.
|
|
|
Netzwerkaktivität
|
TCP-Verbindung
|
Über Standard-Einstellungen gesammelt
|
|
UDP-Verbindung
|
Über Standard-Einstellungen gesammelt
|
|
|
URL
|
Über Standard-Einstellungen gesammelt
|
|
|
DNS-Abfrage
|
Über Standard-Einstellungen gesammelt
|
|
|
Datei heruntergeladen
|
Über Standard-Einstellungen gesammelt
|
|
|
HASH-ALGORITHMEN
|
MD5
|
Über Standard-Einstellungen gesammelt
|
|
SHA
|
Über Standard-Einstellungen gesammelt
|
|
|
REGISTERTÄTIGKEIT
|
Schlüssel/Wert-Erstellung
|
Über Standard-Einstellungen gesammelt
|
|
Schlüssel/Wert-Erstellung
|
Über Standard-Einstellungen gesammelt
|
|
|
Schlüssel/Wert-Löschung
|
Über Standard-Einstellungen gesammelt
|
|
|
AUFGABENAKTIVITÄT PLANEN
|
Erstellung einer geplanten Aufgabe
|
Erfordert das Aktivieren des hypersensitiven Modus
Gesammelt über Windows-Ereignisprotokolle
Erfasst über Windows-Ereignis-ID 4698.
|
|
Geplante Aufgabenänderung
|
Erfordert das Aktivieren des hypersensitiven Modus
Gesammelt über Windows-Ereignisprotokolle
Erfasst über Windows-Ereignis-ID 4702.
|
|
|
Geplante Aufgabenlöschung
|
Erfordert das Aktivieren des hypersensitiven Modus
Gesammelt über Windows-Ereignisprotokolle
Erfasst über Windows-Ereignis-ID 4699.
|
|
|
Dienstaktivität
|
Dienst-Erstellung
|
Erfordert das Aktivieren des hypersensitiven Modus
Gesammelt über Windows-Ereignisprotokolle
Gesammelt über Windows-Ereignis-ID 4697/7045.
|
|
Dienständerung
|
Erfordert das Aktivieren des hypersensitiven Modus
Gesammelt über Windows-Ereignisprotokolle
Nur die Start Type-Änderung wird über Windows-Ereignis-ID 7040 erfasst.
|
|
|
TREIBER/MODUL AKTIVITÄT
|
Treiber geladen
|
Erfordert das Aktivieren des hypersensitiven Modus
|
|
NAMED PIPE-AKTIVITÄT
|
Rohrerstellung
|
Erfordert das Aktivieren des hypersensitiven Modus
|
|
Rohrverbindung
|
Erfordert das Aktivieren des hypersensitiven Modus
|
|
|
WMI-AKTIVITÄT
|
WmiEventConsumerToFilter
|
Gesammelt über Windows-Ereignisprotokolle
Erfasst über Windows-Ereignis-ID 5861.
|
|
WmiEreignisVerbraucher
|
Gesammelt über Windows-Ereignisprotokolle
Erfasst über Windows-Ereignis-ID 5861.
|
|
|
WmiEreignisfilter
|
Gesammelt über Windows-Ereignisprotokolle
Erfasst über Windows-Ereignis-ID 5861.
|
|
|
BITS-Jobs-Aktivität
|
BITS-JOBS-Aktivität
|
Gesammelt über Windows-Ereignisprotokolle
Nur die Erstellung eines neuen BITS-Jobs wird über Windows-Ereignis-ID 3 erfasst.
|
|
POWERSHELL-AKTIVITÄT
|
Skript-Sperraktivität
|
Über Standard-Einstellungen gesammelt
|