Správa předávání syslogu pro lokální Azure

Platí pro: Azure Local 2311.2 a novější

Tento článek popisuje, jak nakonfigurovat události zabezpečení, které se mají předávat do systému siEM (Security Information and Event Management) spravovaného zákazníkem pomocí protokolu syslog pro Azure Local.

Předávání syslog můžete použít k integraci s řešeními pro monitorování zabezpečení a k načtení relevantních protokolů událostí zabezpečení pro jejich uložení na vlastní platformě SIEM. Další informace o funkcích zabezpečení v této verzi najdete v tématu Funkce zabezpečení promístní Azure.

Nakonfigurujte předávání syslogu

Agenti předávání Syslog se ve výchozím nastavení nasazují na každého místního hostitele Azure, který je připravený ke konfiguraci. Každý agent předává události zabezpečení ve formátu syslogu z hostitele na server syslog nakonfigurovaný zákazníkem.

Agenti pro předávání Syslog pracují nezávisle na sobě, ale lze je spravovat společně na kterémkoli z hostitelů. K řízení chování všech agentů předávání použijte rutiny PowerShellu s oprávněními správce na jakémkoli hostiteli.

Služba předávání syslog v Azure Local podporuje následující konfigurace:

• Předávání syslogu pomocí protokolu TCP, vzájemného ověřování (klienta a serveru) a šifrování TLS: V této konfiguraci server syslog i klient syslog ověřují identitu sebe navzájem prostřednictvím certifikátů. Zprávy se posílají přes šifrovaný kanál TLS. Další informace najdete v tématu Předávání syslog s protokolem TCP, vzájemné ověřování (klient a server) a šifrování TLS.

• Předávání syslogu pomocí protokolu TCP, ověřování serveru a šifrování TLS: V této konfiguraci klient syslog ověřuje identitu serveru syslog prostřednictvím certifikátu. Zprávy se posílají přes šifrovaný kanál TLS. Další informace najdete v tématu Předávání Syslog s protokolem TCP, ověřováním serveru a šifrováním TLS.

• Předávání Syslog s protokolem TCP a bez šifrování: V této konfiguraci se neověřují identity klienta syslogu a serveru syslog. Zprávy se posílají ve formátu prostého textu přes protokol TCP. Další informace naleznete v tématu Předávání syslog s protokolem TCP a bez šifrování.

• Syslog s protokolem UDP a bez šifrování: V této konfiguraci se neověří identity klienta syslogu a serveru syslog. Zprávy se posílají ve formátu prostého textu přes UDP. Další informace najdete v tématu Předávání syslogu s protokolem UDP a bez šifrování.

  Důležité

  Microsoft důrazně doporučuje používat protokol TCP s ověřováním a šifrováním v produkčních prostředích, aby se chránily před útoky man-in-the-middle a odposloucháváním zpráv. Verze šifrování TLS závisí na metodě handshake mezi koncovými body. Protokoly TLS 1.2 i TLS 1.3 jsou ve výchozím nastavení podporované.

Rutiny pro konfiguraci předávání syslogu

Konfigurace služby předávání syslog vyžaduje přístup k fyzickému hostiteli pomocí účtu správce domény. Do všech místních hostitelů Azure se přidá sada rutin PowerShellu pro řízení chování služby předávání syslog.

Cmdlet Set-AzSSyslogForwarder slouží k nastavení konfigurace služby předávání syslog pro všechny hostitele. V případě úspěchu se spustí instance akčního plánu pro konfiguraci agentů služby předávání syslog napříč všemi hostiteli. Vrátí se ID instance akčního plánu.

Použijte následující cmdlet k předání informací o syslog serveru předávači a k nastavení přenosového protokolu, šifrování, ověřování a případného certifikátu použitého mezi klientem a serverem:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parametry cmdletu

Následující tabulka obsahuje parametry pro rutinu Set-AzSSyslogForwarder :

Parametr	Popis	Typ	Požaduje se
NázevServeru	Plně kvalifikovaný název domény nebo IP adresa serveru syslog.	řetězec	Ano
ServerPort	Číslo portu, na které server syslog naslouchá.	UInt16	Ano
NoEncryption	Vynuťte, aby klient odesílal zprávy syslogu ve formátu prostého textu.	Vlajka	Ne
PřeskočitKontroluCertifikátuServeru	Během počátečního handshake protokolu TLS přeskočte ověření certifikátu poskytovaného serverem syslog.	Vlajka	Ne
SkipServerCNCheck	Během počátečního handshake protokolu TLS přeskočte ověření hodnoty Common Name certifikátu poskytovaného serverem syslog.	Vlajka	Ne
Použijte UDP	Jako přenosový protokol použijte syslog s protokolem UDP.	Vlajka	Ne
Otisk klientského certifikátu	Kryptografický otisk klientského certifikátu používaného ke komunikaci se serverem syslog.	řetězec	Ne
OutputSeverity	Úroveň protokolování výstupu Hodnoty jsou výchozí nebo podrobné. Výchozí hodnota zahrnuje úrovně závažnosti: upozornění, kritické nebo chybové. Podrobné zahrnuje všechny úrovně závažnosti: podrobné, informativní, upozornění, kritické nebo chybové.	Řetězec	Ne
Odebrat	Odeberte aktuální konfiguraci nástroje pro předávání syslog a zastavte jeho činnost.	Vlajka	Ne

Předávání syslogu s protokolem TCP, vzájemným ověřováním (klientem a serverem) a šifrováním TLS

V této konfiguraci klient syslogu v Azure Local předává zprávy na server syslog přes protokol TCP s šifrováním TLS. Během počáteční handshake ověří klient, že server poskytuje platný důvěryhodný certifikát. Klient také poskytuje serveru certifikát jako doklad o jeho identitě.

Tato konfigurace je nejbezpečnější, protože poskytuje úplné ověření identity klienta i serveru a odesílá zprávy přes šifrovaný kanál.

Důležité

Společnost Microsoft doporučuje použít tuto konfiguraci pro produkční prostředí.

Chcete-li nakonfigurovat předávání syslog pomocí protokolu TCP, vzájemného ověřování a šifrování TLS, nakonfigurujte server a poskytněte klientovi certifikát pro ověření na serveru.

Spusťte na fyzickém hostiteli následující cmdlet:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Důležité

Klientský certifikát musí obsahovat privátní klíč. Pokud je klientský certifikát podepsaný pomocí kořenového certifikátu podepsaného svým držitelem, musíte také importovat kořenový certifikát.

Předávání syslogu s využitím protokolu TCP, ověřování serveru a šifrování TLS

V této konfiguraci přeposílač syslogu v Azure Local přeposílá syslogové zprávy na server syslog přes TCP s TLS šifrováním. Během počátečního handshake klient také ověří, že server poskytuje platný a důvěryhodný certifikát.

Tato konfigurace brání klientovi v odesílání zpráv do nedůvěryhodných cílů. Protokol TCP využívající ověřování a šifrování je výchozí konfigurace a představuje minimální úroveň zabezpečení, kterou Microsoft doporučuje pro produkční prostředí.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Pokud chcete otestovat integraci serveru syslog s místním předávačem syslogu Azure pomocí samosignedovaného nebo nedůvěryhodného certifikátu, použijte tyto příznaky k přeskočení ověření serveru prováděného klientem během počátečního handshake.

1. Přeskočte ověření hodnoty Common Name v certifikátu serveru. Tento příznak použijte, pokud pro server syslog zadáte IP adresu.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Přeskočte ověření certifikátu serveru.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Důležité

   Microsoft doporučuje, abyste v produkčních prostředích nepoužívali příznak -SkipServerCertificateCheck.

Předávání syslogu s protokolem TCP a bez šifrování

V této konfiguraci klient syslogu v Azure Local předává zprávy na server syslog přes protokol TCP bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Důležité

Microsoft doporučuje, abyste tuto konfiguraci nepoužívejte v produkčních prostředích.

Předávání syslogu s protokolem UDP a bez šifrování

V této konfiguraci klient syslogu v Azure Local předává zprávy na server syslog přes UDP bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

I když je nejjednodušší nakonfigurovat udp bez šifrování, neposkytuje žádnou ochranu proti útokům typu man-in-the-middle ani odposlouchávání zpráv.

Důležité

Microsoft doporučuje, abyste tuto konfiguraci nepoužívejte v produkčních prostředích.

Povolení předávání syslogu

Spusťte následující cmdlet pro povolení předávání protokolů syslogu:

Enable-AzSSyslogForwarder [-Force]

Syslog forwarder bude povolen s konfigurací uloženou při posledním úspěšném Set-AzSSyslogForwarder volání. Pokud nebyla zadána žádná konfigurace, cmdlet selže.Set-AzSSyslogForwarder

Zakažte předávání syslogu

Spusťte následující příkaz cmdlet pro zakázání předávání syslogu:

Disable-AzSSyslogForwarder [-Force] 

Parametr pro Enable-AzSSyslogForwarder a Disable-AzSSyslogForwarder cmdlets:

Parametr	Popis	Typ	Požaduje se
Force	Pokud je zadáno, akční plán se vždy aktivuje i v případě, že je cílový stav stejný jako aktuální. To může být užitečné při resetování změn mimo pásmo.	Vlajka	Ne

Ověření nastavení syslogu

Po úspěšném připojení klienta syslogu k serveru syslog začnete dostávat oznámení o událostech. Pokud se vám nezobrazují oznámení, spuštěním následující rutiny ověřte konfiguraci služby předávání syslog vašeho clusteru:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Každý hostitel má vlastního agenta pro předávání syslog, který používá místní kopii konfigurace clusteru. Očekává se, že budou vždy stejné jako konfigurace clusteru. Aktuální konfiguraci na každém hostiteli můžete ověřit pomocí následující rutiny:

Get-AzSSyslogForwarder -PerNode 

K ověření konfigurace na hostiteli, ke kterému jste připojení, můžete použít také následující rutinu:

Get-AzSSyslogForwarder -Local

Parametry rutiny pro rutinu Get-AzSSyslogForwarder :

Parametr	Popis	Typ	Požaduje se
Místní	Umožňuje zobrazit aktuálně použitou konfiguraci na aktuálním hostiteli.	Vlajka	Ne
PerNode	Zobrazit aktuálně použitou konfiguraci na každém hostiteli	Vlajka	Ne
Klastr	Umožňuje zobrazit aktuální globální konfiguraci v místním prostředí Azure. Toto je výchozí chování, pokud není zadaný žádný parametr.	Vlajka	Ne

Odstranit předávání syslogu

Spuštěním následujícího příkazu odeberte konfiguraci přesměrovávače syslog a zastavte přesměrovávání syslog:

Set-AzSSyslogForwarder -Remove 

Referenční informace ke schématu zpráv a protokolu událostí

Následující referenční materiál dokumentuje schéma zpráv syslogu a definice událostí.

Schéma zpráv Syslogu

Služba předávání syslog místní infrastruktury Azure odesílá zprávy formátované podle protokolu syslogu BSD definovaného v RFC3164. CEF se také používá k formátování datové části zprávy syslogu.

Každá zpráva syslogu je strukturovaná na základě tohoto schématu: Priorita (PRI) | Čas | Hostitel | Datová část CEF |

Část PRI obsahuje dvě hodnoty: zařízení a závažnost. Oba závisí na typu zprávy, jako je událost systému Windows atd.

Schéma a definice datové části formátu běžné události

Datová část formátu CEF (Common Event Format) je založená na následující struktuře. Mapování jednotlivých polí se liší v závislosti na typu zprávy, jako je událost systému Windows atd.

CEF: |Verze | Dodavatel zařízení | Produkt zařízení | Verze zařízení | ID podpisu | Název | Závažnost | Rozšíření |

• Verze: 0.0
• Dodavatel zařízení: Microsoft
• Produkt zařízení: Místní Microsoft Azure
• Verze zařízení: 1.0

Mapování událostí Windows a příklady

Všechny události Windows používají hodnotu 10 pro kategorii PRI.

• ID podpisu: ProviderName:EventID
• Název: TaskName
• Závažnost: Úroveň. Podrobnosti najdete v následující tabulce závažnosti.
• Rozšíření: Vlastní název rozšíření. Podrobnosti najdete v následující tabulce.

Závažnost událostí Windows

Hodnota závažnosti PRI	Hodnota závažnosti CEF	Úroveň událostí Windows	Hodnota MasLevel (v rozšíření)
7	0	Nedefinováno	Hodnota: 0. Označuje protokoly na všech úrovních.
2	10	Kritické	Hodnota: 1. Označuje protokoly pro kritické upozornění.
3	8	Chyba	Hodnota: 2. Označuje protokoly chyby.
4	5	Varování	Hodnota: 3. Uvádí záznamy varování.
6	2	Informace	Hodnota: 4. Označuje protokoly pro informační zprávu.
7	0	Podrobnosti	Hodnota: 5. Označuje protokoly pro podrobnou zprávu.

Vlastní rozšíření a události Windows v Azure Local

Název vlastní přípony	Událost Windows
MasChannel	Systém
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	Nastavení zásad skupiny pro uživatele bylo úspěšně zpracováno. Od posledního úspěšného zpracování zásad skupiny nebyly zjištěny žádné změny.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Úspěch auditu
MasLevel	4
MasOpcode	1
MasOpcodeName	informace
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Identifikátor zabezpečení Windows
MasTask	0
MasTaskCategory	Vytvoření procesu
MasUserData	KB4093112!! 5112!! Nainstalovaný!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Různé události

Různé události, které se přeposílají. Tyto události nelze přizpůsobit.

Typ události	Dotaz na událost
Události ověřování bezdrátové sítě Lan 802.1x s adresou MAC partnerského uzlu	query="Security!*[System[(EventID=5632)]]"
Nová služba (4697)	query="Security!*[System[(EventID=4697)]]"
Opětovné připojení relace TS (4778), odpojení relace TS (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]]"
Přístup k objektům sdíleného síťového prostředku bez použití sdílených složek IPC$ a Netlogon	query="Zabezpečení![System[(EventID=5140)] a EventData[Data[@Name='ShareName']!='\IPC$'] and EventData[Data[@Name='ShareName']!='\*\NetLogon']]
Změna systémového času (4616)	query="Security!*[System[(EventID=4616)]]"
Místní přihlášení bez událostí sítě nebo služby	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]
Události vymazání protokolu zabezpečení (1102), vypnutí služby EventLog (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]]"
Odhlášení iniciované uživatelem	query="Security!*[System[(EventID=4647)]]"
Odhlášení uživatele pro všechny relace přihlášení, které nejsou připojeny k síti	query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]
Události přihlášení služby, pokud uživatelský účet není LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
Vytvoření sdílené síťové složky (5142), odstranění síťové sdílené složky (5144)	query="Security!*[System[(EventID=5142 nebo EventID=5144)]"
Vytvoření procesu (4688)	query="Security!*[System[EventID=4688]]"
Události služby protokolu událostí specifické pro kanál Security	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]"
Zvláštní oprávnění (přístup ekvivalentní pro správu) přiřazená k novému přihlášení s výjimkou localSystem	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]
Nový uživatel přidaný do místní, globální nebo univerzální skupiny zabezpečení	query="Security!*[System[(EventID=4732 or EventID=4728 or EventID=4756)]]"
Uživatel odebraný z místní skupiny Administrators	query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]"
Služba Certificate Services přijala žádost o certifikát (4886), žádost schválena a certifikát vystaven (4887), zamítnutá žádost (4888)	query="Security!*[System[(EventID=4886 nebo EventID=4887 nebo EventID=4888)]"
Nový uživatelský účet vytvořený(4720), povolený uživatelský účet (4722), zakázaný uživatelský účet (4725), odstraněný uživatelský účet (4726)	query="Security!*[System[(EventID=4720 nebo EventID=4722 nebo EventID=4725 nebo EventID=4726)]]"
Antimalware staré události, ale detekuje pouze události (což snižuje šum)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119)]]"
Spuštění systému (12 – zahrnuje operační systém, SP/verzi) a vypnutí	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]]
Instalace služby (7000), selhání spuštění služby (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045)]]"
Žádosti o zahájení vypnutí s uživatelem, procesem a důvodem (pokud je uveden)	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]"
Události služby protokolu událostí	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Ostatní události vymazání protokolu (104)	query="System!*[System[(EventID=104)]]
EMET/události ochrany před zneužitím	query="Application!*[System[Provider[@Name='EMET']]]"
Události WER pouze pro chybová ukončení aplikací	query="Application!*[System[Provider[@Name='Zasílání zpráv o chybách systému Windows']] and EventData[Data[3]='APPCRASH']]
Přihlášení uživatele pomocí dočasného profilu (1511), nelze vytvořit profil, používá se dočasný profil (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]]"
Události chybového ukončení nebo zablokování aplikace, podobně jako WER/1001. Patří sem úplná cesta k chybnému exe/modulu.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] nebo System[Provider[@Name='Application Hang'] and (EventID=1002)]]"
Plánovač úloh Zaregistrován úkol (106), Registrace úkolu odstraněna (141), Úkol odstraněn (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 nebo EventID=141 nebo EventID=142 )]]"
Vykonávání balíčkovaných aplikací AppLocker (Modern UI)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Instalace zabalené aplikace AppLockeru (moderní uživatelské rozhraní)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Protokolování pokusu o připojení TS ke vzdálenému serveru	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Získá všechny události ověření držitele čipové karty (CHV) provedené na hostiteli (úspěch a selhání).	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Umožňuje úspěšné připojení k jednotce UNC nebo mapované jednotce.	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 or EventID=30624)]]"
Moderní poskytovatel událostí SysMon	query="Microsoft-Windows-Sysmon/Operational!*"
Události moderního poskytovatele detekce událostí v programu Windows Defender (1006–1009) a (1116–1119); plus (5001, 5010, 5012) požadované podle zákazníků	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 and EventID <= 1009) nebo (EventID >= 1116 a EventID <= 1119) nebo (EventID = 5001 nebo EventID = 5010 nebo EventID = 5012) )]]"
Události integrity kódu	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and (EventID=3076 or EventID=3077)]]"
Události zastavení/spuštění CA – zastavená služba CA (4880), spuštěná služba CA (4881), odstraněné řádky databáze CA (4896), načtená šablona CA (4898)	query="Security!*[System[(EventID=4880 nebo EventID = 4881 nebo EventID = 4896 nebo EventID = 4898)]]"
Události RRAS – vygenerované pouze na serveru Microsoft IAS	query="Security!*[System[( (EventID >= 6272 and EventID <= 6280) )]]
Ukončení procesu (4689)	query="Security!*[System[(EventID = 4689)]]"
Události změny registru pro operace: Vytvořená nová hodnota registru (%%1904), změněná existující hodnota registru (%%1905), odstraněná hodnota registru (%%1906)	query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] or EventData[Data[@Name='OperationType'] = '%%1905'] or EventData[Data[@Name='OperationType'] = '%%1906'])]"
Žádost o autentizaci v bezdrátové síti (včetně Peer MAC (5632))	query="Security!*[System[(EventID=5632)]]"
Systém rozpoznal nové externí zařízení(6416)	query="Security!*[System[(EventID=6416)]]"
Události ověřování RADIUS – Uživatelem přiřazená IP adresa (20274), Uživatel úspěšně ověřen (20250), Odpojeno uživatelem (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 nebo EventID=20250 nebo EventID=20275)]]"
CAPI události řetězec sestavení (11), přístup k privátnímu klíči (70), objekt X509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 nebo EventID=70 nebo EventID=90)]]
Skupiny přiřazené k novému přihlášení (s výjimkou známých předdefinovaných účtů)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
Události klienta DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']=']"
Zjištění načtených ovladačů v uživatelském režimu pro potenciální detekci hrozby BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Podrobnosti o spuštění potrubí PowerShellu starší verze (800)	query="Windows PowerShell!*[System[(EventID=800)]]
Události zastavené Defendrem	query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] and EventData[Data[@Name='param2']='zastaveno']]"
Události správy nástroje BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Další kroky

Přečtěte si další informace:

• Nastavení základních zabezpečení pro Azure Local
• Řízení aplikací v programu Windows Defender pro místní prostředí Azure
• BitLocker pro Azure Local