Správa předávání syslogu pro místní Azure

Platí pro: Azure Local, verze 23H2

Tento článek popisuje, jak nakonfigurovat události zabezpečení tak, aby se předávaly do systému siEM (Security Information and Event Management) spravovaného zákazníkem pomocí protokolu syslog pro Místní Azure verze 23H2.

Předávání syslog můžete použít k integraci s řešeními pro monitorování zabezpečení a k načtení relevantních protokolů událostí zabezpečení pro jejich uložení na vlastní platformě SIEM. Další informace o funkcích zabezpečení v této verzi najdete v tématu Funkce zabezpečení pro místní Azure verze 23H2.

Konfigurace předávání syslogu

Agenti předávání Syslog se ve výchozím nastavení nasazují na každého místního hostitele Azure, který je připravený ke konfiguraci. Každý z agentů bude předávat události zabezpečení ve formátu syslog z hostitele na server syslog nakonfigurovaný zákazníkem.

Agenti předávání Syslog pracují nezávisle na sobě, ale dají se spravovat společně na každém z hostitelů. K řízení chování všech agentů předávání použijte rutiny PowerShellu s oprávněními správce na jakémkoli hostiteli.

Služba předávání syslog v Azure Local podporuje následující konfigurace:

• Předávání syslogu pomocí protokolu TCP, vzájemného ověřování (klienta a serveru) a šifrování TLS: V této konfiguraci server syslog i klient syslog ověřují identitu sebe navzájem prostřednictvím certifikátů. Zprávy se posílají přes šifrovaný kanál TLS. Další informace najdete v tématu Předávání syslog s protokolem TCP, vzájemné ověřování (klient a server) a šifrování TLS.

• Předávání syslogu pomocí protokolu TCP, ověřování serveru a šifrování TLS: V této konfiguraci klient syslog ověřuje identitu serveru syslog prostřednictvím certifikátu. Zprávy se posílají přes šifrovaný kanál TLS. Další informace najdete v tématu Předávání Syslog s protokolem TCP, ověřováním serveru a šifrováním TLS.

• Předávání Syslog s protokolem TCP a bez šifrování: V této konfiguraci se neověřují identity klienta syslogu a serveru syslog. Zprávy se posílají ve formátu prostého textu přes protokol TCP. Další informace naleznete v tématu Předávání syslog s protokolem TCP a bez šifrování.

• Syslog s protokolem UDP a bez šifrování: V této konfiguraci se neověří identity klienta syslogu a serveru syslog. Zprávy se posílají ve formátu prostého textu přes UDP. Další informace najdete v tématu Předávání syslogu s protokolem UDP a bez šifrování.

  Důležité

  Microsoft důrazně doporučuje používat protokol TCP s ověřováním a šifrováním v produkčních prostředích, aby se chránily před útoky man-in-the-middle a odposloucháváním zpráv. Verze šifrování TLS závisí na metodě handshake mezi koncovými body. Protokoly TLS 1.2 i TLS 1.3 jsou ve výchozím nastavení podporované.

Rutiny pro konfiguraci předávání syslogu

Konfigurace služby předávání syslog vyžaduje přístup k fyzickému hostiteli pomocí účtu správce domény. Do všech místních hostitelů Azure byla přidána sada rutin PowerShellu pro řízení chování předávání syslogu.

Rutina Set-AzSSyslogForwarder slouží k nastavení konfigurace služby předávání syslog pro všechny hostitele. V případě úspěchu bude instance akčního plánu spuštěna, aby na všech hostitelích našly agenty služby předávání syslog. Vrátí se ID instance akčního plánu.

Pomocí následující rutiny předejte předávacímu serveru syslog informace a ke konfiguraci přenosového protokolu, šifrování, ověřování a volitelného certifikátu použitého mezi klientem a serverem:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parametry rutiny

Následující tabulka obsahuje parametry pro rutinu Set-AzSSyslogForwarder :

Parametr	Popis	Typ	Požaduje se
ServerName	Plně kvalifikovaný název domény nebo IP adresa serveru syslog.	String	Ano
ServerPort	Číslo portu, na které server syslog naslouchá.	UInt16	Ano
NoEncryption	Vynuťte, aby klient odesílal zprávy syslogu ve formátu prostého textu.	Příznak	No
SkipServerCertificateCheck	Během počátečního handshake protokolu TLS přeskočte ověření certifikátu poskytovaného serverem syslog.	Příznak	No
SkipServerCNCheck	Během počátečního metody handshake protokolu TLS přeskočte ověření hodnoty běžného názvu certifikátu poskytovaného serverem syslog.	Příznak	No
UseUDP	Jako přenosový protokol použijte syslog s protokolem UDP.	Příznak	No
ClientCertificateThumbprint	Kryptografický otisk klientského certifikátu používaného ke komunikaci se serverem syslog.	Řetězcové	No
OutputSeverity	Úroveň protokolování výstupu Hodnoty jsou výchozí nebo podrobné. Výchozí hodnota zahrnuje úrovně závažnosti: upozornění, kritické nebo chybové. Podrobné zahrnuje všechny úrovně závažnosti: podrobné, informativní, upozornění, kritické nebo chybové.	Řetězcové	No
Odebrat	Odeberte aktuální konfiguraci služby předávání syslog a zastavte nástroj pro předávání syslog.	Příznak	No

Předávání syslogu s protokolem TCP, vzájemným ověřováním (klientem a serverem) a šifrováním TLS

V této konfiguraci klient syslogu v Azure Local předává zprávy na server syslog přes protokol TCP s šifrováním TLS. Během počáteční metody handshake klient ověří, že server poskytuje platný důvěryhodný certifikát. Klient také poskytuje serveru certifikát jako doklad o jeho identitě.

Tato konfigurace je nejbezpečnější, protože poskytuje úplné ověření identity klienta i serveru a odesílá zprávy přes šifrovaný kanál.

Důležité

Společnost Microsoft doporučuje použít tuto konfiguraci pro produkční prostředí.

Chcete-li nakonfigurovat předávání syslog pomocí protokolu TCP, vzájemného ověřování a šifrování TLS, nakonfigurujte server a poskytněte klientovi certifikát pro ověření na serveru.

Spusťte na fyzickém hostiteli následující rutinu:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Důležité

Klientský certifikát musí obsahovat privátní klíč. Pokud je klientský certifikát podepsaný pomocí kořenového certifikátu podepsaného svým držitelem, musíte také importovat kořenový certifikát.

Předávání syslogu s využitím protokolu TCP, ověřování serveru a šifrování TLS

V této konfiguraci přeposílání syslogu v Azure Local předává zprávy na server syslog přes protokol TCP s šifrováním TLS. Během počáteční metody handshake klient také ověří, že server poskytuje platný důvěryhodný certifikát.

Tato konfigurace brání klientovi v odesílání zpráv do nedůvěryhodných cílů. Protokol TCP využívající ověřování a šifrování je výchozí konfigurace a představuje minimální úroveň zabezpečení, kterou Microsoft doporučuje pro produkční prostředí.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Pokud chcete otestovat integraci serveru syslog s místním předáváním Syslog Azure pomocí certifikátu podepsaného svým držitelem nebo nedůvěryhodným certifikátem, pomocí těchto příznaků přeskočte ověření serveru provedeného klientem během počáteční metody handshake.

1. Přeskočte ověření hodnoty Common Name v certifikátu serveru. Tento příznak použijte, pokud pro server syslog zadáte IP adresu.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Přeskočte ověření certifikátu serveru.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Důležité

   Microsoft doporučuje, abyste příznak nepoužít -SkipServerCertificateCheck v produkčních prostředích.

Předávání syslogu s protokolem TCP a bez šifrování

V této konfiguraci klient syslogu v Azure Local předává zprávy na server syslog přes protokol TCP bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Důležité

Společnost Microsoft doporučuje, abyste tuto konfiguraci nepoužíli v produkčních prostředích.

Předávání syslogu s protokolem UDP a bez šifrování

V této konfiguraci klient syslogu v Azure Local předává zprávy na server syslog přes UDP bez šifrování. Klient neověřuje identitu serveru ani neposkytuje vlastní identitu serveru k ověření.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

I když je nejjednodušší nakonfigurovat udp bez šifrování, neposkytuje žádnou ochranu proti útokům typu man-in-the-middle ani odposlouchávání zpráv.

Důležité

Společnost Microsoft doporučuje, abyste tuto konfiguraci nepoužíli v produkčních prostředích.

Povolení předávání syslogu

Spuštěním následující rutiny povolte předávání syslogu:

Enable-AzSSyslogForwarder [-Force]

Služba předávání Syslog bude povolena s uloženou konfigurací poskytovanou posledním úspěšným Set-AzSSyslogForwarder voláním. Pokud nebyla zadána žádná konfigurace, rutina selže.Set-AzSSyslogForwarder

Zakázání předávání syslogu

Spuštěním následující rutiny zakažte předávání syslogu:

Disable-AzSSyslogForwarder [-Force] 

Parametr pro Enable-AzSSyslogForwarder a Disable-AzSSyslogForwarder rutiny:

Parametr	Popis	Typ	Požaduje se
Force	Pokud je zadáno, akční plán se vždy aktivuje i v případě, že je cílový stav stejný jako aktuální. To může být užitečné při resetování změn mimo pásmo.	Příznak	No

Ověření nastavení syslogu

Po úspěšném připojení klienta syslog k serveru syslog začnete dostávat oznámení o událostech. Pokud se vám nezobrazují oznámení, spuštěním následující rutiny ověřte konfiguraci služby předávání syslog vašeho clusteru:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Každý hostitel má vlastního agenta pro předávání syslog, který používá místní kopii konfigurace clusteru. Vždy se očekává, že budou stejné jako konfigurace clusteru. Aktuální konfiguraci na každém hostiteli můžete ověřit pomocí následující rutiny:

Get-AzSSyslogForwarder -PerNode 

K ověření konfigurace na hostiteli, ke kterému jste připojení, můžete použít také následující rutinu:

Get-AzSSyslogForwarder -Local

Parametry rutiny pro rutinu Get-AzSSyslogForwarder :

Parametr	Popis	Typ	Požaduje se
Místní	Umožňuje zobrazit aktuálně použitou konfiguraci na aktuálním hostiteli.	Příznak	No
PerNode	Zobrazit aktuálně použitou konfiguraci na každém hostiteli	Příznak	No
Cluster	Umožňuje zobrazit aktuální globální konfiguraci v místním prostředí Azure. Toto je výchozí chování, pokud není zadaný žádný parametr.	Příznak	No

Odebrání předávání syslogu

Spuštěním následujícího příkazu odeberte konfiguraci nástroje předávání syslog a zastavte předávání syslog:

Set-AzSSyslogForwarder -Remove 

Referenční informace ke schématu zpráv a protokolu událostí

Následující referenční materiály dokumenty syslog schéma zpráv a definice událostí.

Schéma zpráv Syslogu

Služba předávání syslog místní infrastruktury Azure odesílá zprávy formátované podle protokolu syslogu BSD definovaného v RFC3164. CEF se také používá k formátování datové části zprávy syslogu.

Každá zpráva syslogu je strukturovaná na základě tohoto schématu: Priorita (PRI) | Čas | Hostitel | Datová část CEF |

Část PRI obsahuje dvě hodnoty: zařízení a závažnost. Oba závisí na typu zprávy, jako je událost systému Windows atd.

Schéma a definice datové části formátu běžné události

Datová část formátu CEF (Common Event Format) je založená na následující struktuře. Mapování jednotlivých polí se liší v závislosti na typu zprávy, jako je událost systému Windows atd.

CEF: |Verze | Dodavatel zařízení | Produkt zařízení | Verze zařízení | ID podpisu | Název | Závažnost | Rozšíření |

• Verze: 0.0
• Dodavatel zařízení: Microsoft
• Produkt zařízení: Místní Microsoft Azure
• Verze zařízení: 1.0

Mapování událostí Windows a příklady

Všechny události Windows používají hodnotu 10 zařízení PRI.

• ID podpisu: ProviderName:EventID
• Název: TaskName
• Závažnost: Úroveň. Podrobnosti najdete v následující tabulce závažnosti.
• Přípona: Vlastní název rozšíření. Podrobnosti najdete v následující tabulce.

Závažnost událostí Windows

Hodnota závažnosti PRI	Hodnota závažnosti CEF	Úroveň událostí Windows	Hodnota MasLevel (v rozšíření)
7	0	Nedefinováno	Hodnota: 0. Označuje protokoly na všech úrovních.
2	10	Kritické	Hodnota: 1. Označuje protokoly pro kritickou výstrahu.
3	8	Chyba	Hodnota: 2. Označuje protokoly chyby.
4	5	Upozorňující	Hodnota: 3. Označuje protokoly pro upozornění.
6	2	Informační	Hodnota: 4. Označuje protokoly pro informační zprávu.
7	0	Podrobnosti	Hodnota: 5. Označuje protokoly pro podrobnou zprávu.

Vlastní rozšíření a události Windows v Azure Local

Název vlastní přípony	Událost Windows
MasChannel	Systémový
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	Nastavení zásad skupiny pro uživatele bylo úspěšně zpracováno. Od posledního úspěšného zpracování zásad skupiny nebyly zjištěny žádné změny.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Úspěch auditu
MasLevel	4
MasOpcode	0
MasOpcodeName	informace
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Vytvoření procesu
MasUserData	KB4093112!! 5112!! Nainstalovaný!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Různé události

Různé události, které se přeposílají. Tyto události nelze přizpůsobit.

Typ události	Dotaz na události
Události ověřování bezdrátové sítě Lan 802.1x s adresou MAC partnerského uzlu	query="Security!*[System[(EventID=5632)]"
Nová služba (4697)	query="Security!*[System[(EventID=4697)]"
Opětovné připojení relace TS (4778), odpojení relace TS (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]"
Přístup k objektům sdílené síťové složky bez sdílených složek IPC$ a Netlogon	query="Zabezpečení![System[(EventID=5140)] a EventData[Data[@Name='ShareName']!='\IPC$'] and EventData[Data[@Name='ShareName']!='\*\NetLogon']]
Změna systémového času (4616)	query="Security!*[System[(EventID=4616)]"
Místní přihlášení bez událostí sítě nebo služby	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]
Události vymazání protokolu zabezpečení (1102), vypnutí služby EventLog (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]"
Odhlášení iniciované uživatelem	query="Security!*[System[(EventID=4647)]"
Odhlášení uživatele pro všechny relace přihlášení mimo síť	query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]
Události přihlášení služby, pokud uživatelský účet není LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18 a EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]
Vytvoření sdílené síťové složky (5142), odstranění síťové sdílené složky (5144)	query="Security!*[System[(EventID=5142 nebo EventID=5144)]"
Vytvoření procesu (4688)	query="Security!*[System[EventID=4688]]
Události služby protokolu událostí specifické pro kanál zabezpečení	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]"
Zvláštní oprávnění (přístup ekvivalentní pro správu) přiřazená k novému přihlášení s výjimkou localSystem	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]
Nový uživatel přidaný do místní, globální nebo univerzální skupiny zabezpečení	query="Security!*[System[(EventID=4732 or EventID=4728 or EventID=4756)]"
Uživatel odebraný z místní skupiny Administrators	query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]
Služba Certificate Services přijala žádost o certifikát (4886), schválená a vystavená (4887), žádost o odepření (4888)	query="Security!*[System[(EventID=4886 nebo EventID=4887 nebo EventID=4888)]"
Nový uživatelský účet vytvořený(4720), povolený uživatelský účet (4722), zakázaný uživatelský účet (4725), odstraněný uživatelský účet (4726)	query="Security!*[System[(EventID=4720 nebo EventID=4722 or EventID=4725 or EventID=4726)]"
Antimalwarové staré události, ale detekují pouze události (snižuje šum)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] and (EventID = 1116 a EventID ><= 1119)]"
Spuštění systému (12 – zahrnuje operační systém, SP/verzi) a vypnutí	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]]
Instalace služby (7000), selhání spuštění služby (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045)]"
Vypnutí inicializovat žádosti s uživatelem, procesem a důvodem (pokud je zadáno)	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]"
Události služby protokolu událostí	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]
Ostatní události s vymazáním protokolu (104)	query="System!*[System[(EventID=104)]]
EMET/Exploit Protection – události ochrany	query="Application!*[System[Provider[@Name='EMET']]]
Události WER pouze u chybových ukončení aplikace	query="Application!*[System[Provider[@Name='Zasílání zpráv o chybách systému Windows']] and EventData[Data[3]='APPCRASH']]
Přihlášení uživatele pomocí dočasného profilu (1511) nemůže vytvořit profil pomocí dočasného profilu (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]"
Události chybového ukončení nebo zablokování aplikace, podobně jako WER/1001. Patří sem úplná cesta k chybnému exe/modulu.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] nebo System[Provider[@Name='Application Hang'] and (EventID=1002)]]
Úloha plánovače úloh zaregistrovaná (106), odstraněná registrace úlohy (141), odstraněná úloha (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 nebo EventID=141 nebo EventID=142 )]]
Zabalené aplikace AppLockeru (moderní uživatelské rozhraní)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Instalace zabalené aplikace AppLockeru (moderní uživatelské rozhraní)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Protokol se pokusil o připojení TS ke vzdálenému serveru	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]
Získá všechny události ověření držitele čipové karty (CHV) provedené na hostiteli (úspěch a selhání).	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Získá úspěšné připojení k jednotce UNC nebo mapované jednotce.	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 or EventID=30624)]"
Moderní poskytovatel událostí SysMon	query="Microsoft-Windows-Sysmon/Operational!*"
Moderní události detekce zprostředkovatele událostí v programu Windows Defender (1006–1009) a (1116–1119); plus (5001 5010 5012) req'd podle zákazníků	query="Microsoft-Windows-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 and EventID = 1009) nebo (EventID >= 1116 a EventID <= 1119) nebo (EventID = 5001 nebo EventID <= 5010 nebo EventID = 5012) )]]
Události integrity kódu	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and (EventID=3076 or EventID=3077)]"
Zastavení/spuštění událostí ca– zastavená služba CA (4880), spuštěná služba CA (4881), odstraněné řádky databáze CA (4896), načtená šablona ca (4898)	query="Security!*[System[(EventID=4880 nebo EventID = 4881 nebo EventID = 4896 nebo EventID = 4898)]"
Události RRAS – vygenerované pouze na serveru Microsoft IAS	query="Security!*[System[( (EventID >= 6272 and EventID <= 6280) )]]
Ukončení procesu (4689)	query="Security!*[System[(EventID = 4689)]"
Události změny registru pro operace: Vytvořená nová hodnota registru (%%1904), změněná existující hodnota registru (%%1905), odstraněná hodnota registru (%%1906)	query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] or EventData[Data[@Name='OperationType'] = '%%1905'] or EventData[Data[@Name='OperationType'] = '%%1906'])]"
Žádost o ověření v bezdrátové síti (včetně peer mac (5632))	query="Security!*[System[(EventID=5632)]"
Systém rozpoznal nové externí zařízení(6416)	query="Security!*[System[(EventID=6416)]"
Události ověřování PROTOKOLU RADIUS– IP adresa přiřazená uživatelem (20274), úspěšně ověřeno uživatelem (20250), Odpojeno uživatelem (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 nebo EventID=20250 or EventID=20275)]"
CapI events Build Chain (11), privátní klíč přístupný (70), objekt X509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 nebo EventID=70 nebo EventID=90)]]
Skupiny přiřazené k novému přihlášení (s výjimkou známých předdefinovaných účtů)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] and EventData[Data [@Name='TargetUserSid'] != 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]
Události klienta DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']=']"
Zjištění načtených ovladačů uživatelského režimu – pro potenciální detekci BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]
Podrobnosti o spuštění starší verze kanálu PowerShellu (800)	query="Windows PowerShell!*[System[(EventID=800)]]
Zastavené události Defenderu	query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Antivirová ochrana v programu Microsoft Defender Network Inspection Service'] and EventData[Data[@Name='param2']='stopped']]
Události správy nástroje BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Další kroky

Přečtěte si další informace:

• Nastavení standardních hodnot zabezpečení pro Místní Azure
• Řízení aplikací v programu Windows Defender pro místní prostředí Azure
• BitLocker pro místní Azure