Introduction
L'agent du MDR de Field Effect pour Windows interroge les journaux d'événements pour les ID d'événements décrits dans le tableau ci-dessous.
Ces ID d'événements couvrent un large éventail de journaux de système, de sécurité et d'application. Certains sont liés à des actions de l'utilisateur, d'autres à des événements de sécurité, et d'autres encore à des événements système qui nécessitent une attention administrative.
Traduit avec DeepL.com (version gratuite)
Événements Windows enregistrés par l'agent Endpoint
Les événements suivants sont enregistrés par l'agent endpoint et utilisés à des fins d'analyse.
| Event Id | Description |
|---|---|
| EventID 15 | Événements du centre de sécurité, probablement liés à des alertes du système concernant des composants de sécurité ou des mises à jour manquants. |
| EventID 21 | Événement Windows WLAN AutoConfig, généralement lié à la configuration du réseau ou à des problèmes de connexions sans fil. |
| EventID 25 | Un autre événement WLAN AutoConfig, généralement lié à des problèmes de paramétrage ou de fonctionnement du réseau sans fil. |
| EventID 41 | Indique qu'un système a redémarré de manière inattendue, ce qui peut être dû à une coupure de courant, à des problèmes matériels ou à des pannes du système. |
| EventID 51 | Événement Symantec AntiVirus lié à un problème détecté ou à une action entreprise par le logiciel Symantec Antivirus. |
| EventID 104 | Événement de connexion, indiquant généralement qu'un utilisateur s'est connecté au système. |
| EventID 1074 | Indique que le système a été redémarré par un utilisateur ou un processus, souvent initié par la boîte de dialogue d'arrêt ou par le planificateur de tâches.. |
| EventID 1102 | Indique que le journal d'audit a été effacé, éventuellement par une action de l'administrateur. |
| EventID 11000 | Événement WLAN AutoConfig, généralement lié à un problème ou à une modification de la configuration du réseau sans fil. |
| EventID 1151 | Événement Windows Defender, indiquant généralement que Defender a détecté une activité suspecte ou un problème nécessitant une attention particulière. |
| EventID 1006 | Événement Windows Defender lié à un logiciel malveillant potentiel ou à une activité suspecte. |
| EventID 1007 | Un autre événement Windows Defender lié à la détection de logiciels malveillants ou à des actions connexes. |
| EventID 1008 | Événement Windows Defender concernant un problème détecté par le système de défense, probablement un logiciel malveillant ou une menace pour la sécurité. |
| EventID 1015 | Événement Windows Defender, indiquant la détection d'un risque potentiel pour la sécurité, tel qu'un logiciel malveillant ou une menace. |
| EventID 1116 | Un événement spécifique de Defender indiquant un type particulier de menace détectée ou un problème avec les opérations du logiciel de sécurité. |
| EventID 1117 | Semblable à l'EventID 1116, un autre événement Defender qui pourrait indiquer des problèmes de santé ou de sécurité du système. |
| EventID 1118 | Événement dans Windows Defender, concernant des problèmes de sécurité ou de logiciels malveillants. |
| EventID 1119 | Un autre événement lié à la sécurité de Defender, similaire à d'autres liés à des logiciels malveillants ou à des problèmes potentiels du système. |
| EventID 1151 | Une autre mention de l'événement Windows Defender, indiquant l'analyse du système et les problèmes potentiels. |
| EventID 4624 | Événement de connexion réussie, indiquant qu'un utilisateur s'est connecté avec succès au système. |
| EventID 4625 | Échec de connexion, indiquant souvent un mot de passe incorrect, un compte verrouillé ou un autre échec d'authentification. |
| EventID 4663 | Événement d'accès à un fichier ou à un objet. Il se déclenche généralement lorsqu'un fichier ou un objet spécifique est consulté d'une manière compatible avec la surveillance de la sécurité. |
| EventID 4720 | Un compte utilisateur a été créé. Un événement courant lié à la gestion des utilisateurs. |
| EventID 4722 | Un compte d'utilisateur a été activé, généralement après avoir été désactivé pour des raisons de sécurité. |
| EventID 4725 | Un compte d'utilisateur a été désactivé. Cela peut être dû à une action de l'administrateur ou à une politique de sécurité. |
| EventID 4728 | Un utilisateur a été ajouté à un groupe, ce qui est généralement utilisé pour suivre les changements dans les autorisations des utilisateurs. |
| EventID 4729 | Un utilisateur a été retiré d'un groupe, ce qui reflète un changement dans l'appartenance au groupe. |
| EventID 4732 | Un membre a été ajouté à un groupe local sécurisé, souvent en rapport avec la gestion des autorisations de groupe. |
| EventID 4738 | Un compte d'utilisateur a été modifié, ce qui indique des changements dans les propriétés de l'utilisateur. |
| EventID 4740 | Un compte d'utilisateur a été bloqué, généralement à la suite de plusieurs tentatives de connexion infructueuses. |
| EventID 4741 | Un compte informatique a été réinitialisé, ce qui indique souvent une modification ou une actualisation des paramètres du compte. |
| EventID 4743 | Un utilisateur a été supprimé d'un groupe global activé par la sécurité. |
| EventID 4768 | Un ticket d'authentification Kerberos a été demandé, souvent associé à des événements de connexion utilisant l'authentification Kerberos. |
| EventID 4769 | Un ticket de service a été demandé, faisant partie du flux d'authentification Kerberos. |
| EventID 4770 | Un ticket de service a été renouvelé dans le cadre de l'utilisation continue de l'authentification Kerberos. |
| EventID 4781 | Une recherche DNS a été effectuée, souvent dans le cadre d'activités de réseau et en rapport avec les opérations du système. |
| EventID 4769 | Autre mention d'une demande de ticket de service, similaire à 4768 mais avec un flux de processus ou une étape différente. |
| EventID 4770 | Un ticket de service a été renouvelé |
| EventID 7031 | Un service s'est interrompu de manière inattendue, souvent en raison d'une panne du système ou de problèmes liés aux services en cours d'exécution. |
| EventID 7031 (Print Spooler) | Indique un problème avec le service Print Spooler, généralement lié à des problèmes de fonctionnalité d'impression. |
| EventID 7031 (Covalence Endpoint Service) | Indique un problème avec un service spécifique appelé Covalence Endpoint Service, lié à la sécurité des terminaux. |
| EventID 5829 | Probablement lié à une erreur système ou à un problème matériel, généralement dans le cadre d'un problème d'impression ou de numérisation. |
| EventID 5828 | Autre événement associé à des problèmes de système ou à des erreurs liées à l'imprimante. |
| EventID 5827 | Concerne les problèmes ou les erreurs d'imprimante, en particulier les systèmes d'impression. |
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article