Verwalten der Syslogweiterleitung für Azure Local

Gilt für: Azure Local, Version 23H2

In diesem Artikel wird beschrieben, wie Sie Sicherheitsereignisse so konfigurieren, dass sie mit dem Syslog-Protokoll für Azure Local, Version 23H2, an ein vom Kunden verwaltetes Sicherheitsinformations- und Ereignisverwaltungssystem (SIEM) weitergeleitet werden.

Verwenden Sie die Syslog-Weiterleitung, um in Sicherheitsüberwachungslösungen zu integrieren und relevante Sicherheitsereignisprotokolle abzurufen, um sie für die Aufbewahrung auf Ihrer eigenen SIEM-Plattform zu speichern. Weitere Informationen zu Sicherheitsfeatures in dieser Version finden Sie unter Sicherheitsfeatures für Azure Local, Version 23H2.

Konfigurieren der Syslog-Weiterleitung

Syslog-Weiterleitungs-Agents werden standardmäßig auf jedem lokalen Azure-Host bereitgestellt, der für die Konfiguration bereit ist. Jeder Agent leitet Sicherheitsereignisse im Syslog-Format vom Host an den vom Kunden konfigurierten Syslog-Server weiter.

Syslog-Weiterleitungs-Agents arbeiten unabhängig voneinander, können jedoch alle auf einem der Hosts verwaltet werden. Verwenden Sie PowerShell-Cmdlets mit Administratorrechten auf jedem Host, um das Verhalten aller Weiterleitungs-Agents zu steuern.

Die Syslog-Weiterleitung in Azure Local unterstützt die folgenden Konfigurationen:

• Syslog forwarding with TCP, mutual authentication (client and server) and TLS encryption: In this configuration, both the syslog server and the syslog client verify the identity of each other via certificates. Nachrichten werden über einen verschlüsselten TLS-Kanal gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit TCP, gegenseitiger Authentifizierung (Client und Server) und TLS-Verschlüsselung.

• Syslog-Weiterleitung mit TCP-, Serverauthentifizierungs- und TLS-Verschlüsselung: In dieser Konfiguration überprüft der Syslog-Client die Identität des Syslog-Servers über ein Zertifikat. Nachrichten werden über einen verschlüsselten TLS-Kanal gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit TCP, Serverauthentifizierung und TLS-Verschlüsselung.

• Syslog forwarding with TCP and no encryption: In this configuration, the syslog client and syslog server identities aren't verified. Nachrichten werden in Klartext über TCP gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit TCP und ohne Verschlüsselung.

• Syslog mit UDP und keine Verschlüsselung: In dieser Konfiguration werden der Syslog-Client und die Syslog-Serveridentitäten nicht überprüft. Nachrichten werden in Klartext über UDP gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit UDP und ohne Verschlüsselung.

  Wichtig

  Um vor Man-in-the-Middle-Angriffen und Abhörangriffen von Nachrichten zu schützen, empfiehlt Microsoft dringend, TCP mit Authentifizierung und Verschlüsselung in Produktionsumgebungen zu verwenden. Die TLS-Verschlüsselungsversion hängt vom Handshake zwischen den Endpunkten ab. Sowohl TLS 1.2 als auch TLS 1.3 werden standardmäßig unterstützt.

Cmdlets zum Konfigurieren der Syslog-Weiterleitung

Das Konfigurieren der Syslog-Weiterleitung erfordert Zugriff auf den physischen Host mithilfe eines Domänenadministratorkontos. Allen lokalen Azure-Hosts wurde eine Reihe von PowerShell-Cmdlets hinzugefügt, um das Verhalten der Syslog-Weiterleitung zu steuern.

Das Set-AzSSyslogForwarder Cmdlet wird verwendet, um die Syslog-Weiterleitungskonfiguration für alle Hosts festzulegen. Bei erfolgreicher Ausführung wird eine Aktionsplaninstanz gestartet, um die Syslog-Weiterleitungs-Agents auf allen Hosts zu konfigurieren. Die Instanz-ID des Aktionsplans wird zurückgegeben.

Verwenden Sie das folgende Cmdlet, um die Syslog-Serverinformationen an die Weiterleitung zu übergeben und das Transportprotokoll, die Verschlüsselung, die Authentifizierung und das optionale Zertifikat zu konfigurieren, das zwischen dem Client und dem Server verwendet wird:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Cmdlet-Parameter

Die folgende Tabelle enthält Parameter für das Set-AzSSyslogForwarder Cmdlet:

Parameter	Beschreibung	Type	Erforderlich
ServerName	FQDN oder IP-Adresse des Syslog-Servers	String	Ja
ServerPort	Portnummer, an der der Syslog-Server lauscht	UInt16	Ja
NoEncryption	Erzwingen, dass der Client Syslog-Meldungen in Klartext sendet	Kennzeichnung	No
SkipServerCertificateCheck	Überspringen der Überprüfung des vom Syslog-Server beim ersten TLS-Handshake bereitgestellten Zertifikats	Kennzeichnung	No
SkipServerCNCheck	Überspringen der Überprüfung des Werts für den allgemeinen Namen des vom Syslog-Server beim ersten TLS-Handshake bereitgestellten Zertifikats	Kennzeichnung	Nein
UseUDP	Verwenden von Syslog mit UDP als Transportprotokoll	Kennzeichnung	No
ClientCertificateThumbprint	Fingerabdruck des Clientzertifikats, das für die Kommunikation mit dem Syslog-Server verwendet wird.	String	No
OutputSeverity	Ebene des Ausgabeprotokollierung. Werte sind Standard oder Ausführlich. „Standard“ umfasst die Schweregrade „Warnung“, „Kritisch“ oder „Fehler“. „Ausführlich“ umfasst alle Schweregrade („Ausführlich“, „Information“, „Warnung“, „Kritisch“ oder „Fehler“).	String	No
Remove (Entfernen)	Entfernen Sie die aktuelle Syslog-Weiterleitungskonfiguration, und beenden Sie die Syslog-Weiterleitung.	Kennzeichnung	No

Syslog-Weiterleitung mit TCP, gegenseitiger Authentifizierung (Client und Server) und TLS-Verschlüsselung

In dieser Konfiguration leitet der Syslog-Client in Azure Local Nachrichten über TCP mit TLS-Verschlüsselung an den Syslog-Server weiter. Während des anfänglichen Handshakes überprüft der Client, ob der Server ein gültiges und vertrauenswürdiges Zertifikat bereitstellt. Der Client stellt dem Server außerdem ein Zertifikat als Nachweis seiner Identität bereit.

Diese Konfiguration ist die sicherste, da sie die vollständige Überprüfung der Identität des Clients und des Servers bietet und Nachrichten über einen verschlüsselten Kanal sendet.

Wichtig

Microsoft empfiehlt, diese Konfiguration für Produktionsumgebungen zu verwenden.

Um syslog forwarder mit TCP, gegenseitiger Authentifizierung und TLS-Verschlüsselung zu konfigurieren, konfigurieren Sie den Server und stellen das Zertifikat für den Client bereit, um sich gegen den Server zu authentifizieren.

Führen Sie das folgende Cmdlet für einen physischen Host aus:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Wichtig

Das Clientzertifikat muss einen privaten Schlüssel enthalten. Wenn das Clientzertifikat mit einem selbstsignierten Stammzertifikat signiert ist, müssen Sie auch das Stammzertifikat importieren.

Syslog-Weiterleitung mit TCP-, Serverauthentifizierungs- und TLS-Verschlüsselung

In dieser Konfiguration leitet die Syslog-Weiterleitung in Azure Local die Nachrichten über TCP mit TLS-Verschlüsselung an den Syslog-Server weiter. Während des anfänglichen Handshakes überprüft der Client auch, dass der Server ein gültiges und vertrauenswürdiges Zertifikat bereitstellt.

Diese Konfiguration verhindert, dass der Client Meldungen an nicht vertrauenswürdige Ziele sendet. TCP mit Authentifizierung und Verschlüsselung ist die Standardkonfiguration und stellt die minimale Sicherheitsebene dar, die Microsoft für eine Produktionsumgebung empfiehlt.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Wenn Sie die Integration Ihres Syslog-Servers mit der lokalen Azure-Syslog-Weiterleitung mithilfe eines selbstsignierten oder nicht vertrauenswürdigen Zertifikats testen möchten, verwenden Sie diese Flags, um die vom Client während des anfänglichen Handshake durchgeführte Serverüberprüfung zu überspringen.

1. Überspringen Sie die Überprüfung des Werts "Gemeinsamer Name" im Serverzertifikat. Verwenden Sie dieses Kennzeichen, wenn Sie eine IP-Adresse für Ihren Syslog-Server angeben.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Überspringen Sie die Serverzertifikatüberprüfung.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Wichtig

   Microsoft empfiehlt, das -SkipServerCertificateCheck Flag nicht in Produktionsumgebungen zu verwenden.

Syslog-Weiterleitung mit TCP und keine Verschlüsselung

In dieser Konfiguration leitet der Syslog-Client in Azure Local Nachrichten ohne Verschlüsselung an den Syslog-Server über TCP weiter. Der Client überprüft weder die Identität des Servers noch stellt er eine eigene Identität für den Server zur Überprüfung bereit.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Wichtig

Microsoft empfiehlt, diese Konfiguration nicht in Produktionsumgebungen zu verwenden.

Syslog-Weiterleitung mit UDP und ohne Verschlüsselung

In dieser Konfiguration leitet der Syslog-Client in Azure Local Nachrichten ohne Verschlüsselung an den Syslog-Server über UDP weiter. Der Client überprüft weder die Identität des Servers noch stellt er eine eigene Identität für den Server zur Überprüfung bereit.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Während UDP ohne Verschlüsselung am einfachsten zu konfigurieren ist, bietet es keinen Schutz vor Man-in-the-Middle-Angriffen oder Lauschangriffen von Nachrichten.

Wichtig

Microsoft empfiehlt, diese Konfiguration nicht in Produktionsumgebungen zu verwenden.

Aktivieren der Syslog-Weiterleitung

Führen Sie das folgende Cmdlet aus, um die Syslog-Weiterleitung zu aktivieren:

Enable-AzSSyslogForwarder [-Force]

Syslog-Weiterleitung wird mit der gespeicherten Konfiguration aktiviert, die vom letzten erfolgreichen Set-AzSSyslogForwarder Aufruf bereitgestellt wird. Das Cmdlet schlägt fehl, wenn keine Konfiguration bereitgestellt Set-AzSSyslogForwarderwurde.

Syslog-Weiterleitung deaktivieren

Führen Sie das folgende Cmdlet aus, um die Syslogweiterleitung zu deaktivieren:

Disable-AzSSyslogForwarder [-Force] 

Parameter für Enable-AzSSyslogForwarder und Disable-AzSSyslogForwarder Cmdlets:

Parameter	Beschreibung	Type	Erforderlich
Force	Wenn angegeben, wird ein Aktionsplan immer ausgelöst, auch wenn der Zielzustand mit dem aktuellen zustand übereinstimmt. Dies kann hilfreich sein, um Out-of-Band-Änderungen zurückzusetzen.	Kennzeichnung	No

Überprüfen des Syslog-Setups

Nachdem Sie den Syslog-Client erfolgreich mit Ihrem Syslog-Server verbunden haben, beginnen Sie mit dem Empfangen von Ereignisbenachrichtigungen. Wenn keine Benachrichtigungen angezeigt werden, überprüfen Sie die Konfiguration der Cluster-Syslog-Weiterleitung, indem Sie das folgende Cmdlet ausführen:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Jeder Host verfügt über einen eigenen Syslog-Weiterleitungs-Agent, der eine lokale Kopie der Clusterkonfiguration verwendet. Es wird immer erwartet, dass sie mit der Clusterkonfiguration identisch sind. Sie können die aktuelle Konfiguration auf jedem Host mithilfe des folgenden Cmdlets überprüfen:

Get-AzSSyslogForwarder -PerNode 

Sie können auch das folgende Cmdlet verwenden, um die Konfiguration auf dem Host zu überprüfen, mit dem Sie verbunden sind:

Get-AzSSyslogForwarder -Local

Cmdlet-Parameter für das Get-AzSSyslogForwarder Cmdlet:

Parameter	Beschreibung	Type	Erforderlich
Lokal	Aktuell verwendete Konfiguration auf dem aktuellen Host anzeigen.	Kennzeichnung	No
PerNode	Zeigt die aktuell verwendete Konfiguration auf jedem Host an.	Kennzeichnung	No
Cluster	Aktuelle globale Konfiguration in Azure Local anzeigen. Dies ist das Standardverhalten, wenn kein Parameter angegeben wird.	Kennzeichnung	No

Syslog-Weiterleitung entfernen

Führen Sie den folgenden Befehl aus, um die Syslog-Weiterleitungskonfiguration zu entfernen und die Syslog-Weiterleitung zu beenden:

Set-AzSSyslogForwarder -Remove 

Referenz zu Nachrichtenschema und Ereignisprotokoll

Das folgende Referenzmaterial dokumentiert syslog-Nachrichtenschema und Ereignisdefinitionen.

Syslog-Nachrichtenschema

Die Syslog-Weiterleitung der lokalen Azure-Infrastruktur sendet Nachrichten, die nach dem in RFC3164 definierten BSD Syslog-Protokoll formatiert sind. CEF wird auch verwendet, um die Syslog-Nachrichtennutzlast zu formatieren.

Jede Syslog-Nachricht ist basierend auf diesem Schema strukturiert: Priority (PRI) | Zeit | Gastgeber | CEF Payload |

Der PRI-Teil enthält zwei Werte: Einrichtung und Schweregrad. Beide hängen vom Nachrichtentyp ab, z. B. Windows-Ereignis usw.

Allgemeines Nutzlastschema/Definitionen des Ereignisformats

Die Nutzlast des Common Event Formats (CEF) basiert auf der folgenden Struktur. Die Zuordnung für jedes Feld variiert je nach Nachrichtentyp, z. B. Windows-Ereignis usw.

CEF: |Version | Geräteanbieter | Geräteprodukt | Geräteversion | Signatur-ID | Name | Schweregrad | Erweiterungen |

• Version: 0.0
• Geräteanbieter: Microsoft
• Geräteprodukt: Microsoft Azure Lokal
• Geräteversion: 1.0

Windows-Ereigniszuordnung und Beispiele

Alle Windows-Ereignisse verwenden den PRI-Facility-Wert 10.

• Signatur-ID: ProviderName:EventID
• Name: TaskName
• Schweregrad: Ebene. Ausführliche Informationen finden Sie in der folgenden Tabelle mit schwerem Schweregrad.
• Erweiterung: Benutzerdefinierter Erweiterungsname. Details finden Sie in der folgenden Tabelle.

Schweregrad von Windows-Ereignissen

PRI-Schweregradwert	CEF-Schweregradwert	Windows-Ereignisebene	MasLevel-Wert (in Erweiterung)
7	0	Nicht definiert	Wert: 0. Gibt Protokolle auf allen Ebenen an.
2	10	Kritisch	Wert: 1. Gibt Protokolle für eine kritische Warnung an.
3	8	Fehler	Wert: 2. Gibt Protokolle für einen Fehler an.
4	5	Warnung	Wert: 3. Gibt Protokolle für eine Warnung an.
6	2	Informationen	Wert: 4. Gibt Protokolle für eine Informationsmeldung an.
7	0	Ausführlich	Wert: 5. Gibt Protokolle für eine ausführliche Nachricht an.

Benutzerdefinierte Erweiterungen und Windows-Ereignisse in Azure Local

Name der benutzerdefinierten Erweiterung	Windows-Ereignis
MasChannel	System
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription	Die Gruppenrichtlinieneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Seit der letzten erfolgreichen Verarbeitung der Gruppenrichtlinie wurden keine Änderungen erkannt.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25,480
MasKeywords	0x8000000000000000
MasKeywordName	Überwachungserfolg
MasLevel	4
MasOpcode	1
MasOpcodeName	info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Prozesserstellung
MasUserData	KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Verschiedene Ereignisse

Verschiedene Ereignisse, die weitergeleitet werden. Diese Ereignisse können nicht angepasst werden.

Ereignistyp	Ereignisabfrage
Wireless Lan 802.1x-Authentifizierungsereignisse mit Peer-MAC-Adresse	query="Security!*[System[(EventID=5632)]]"
Neuer Dienst (4697)	query="Security!*[System[(EventID=4697)]]"
TS Session reconnect (4778), TS Session disconnect (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]]"
Netzwerkfreigabeobjektzugriff ohne IPC$- und Netlogon-Freigaben	query="Security![System[(EventID=5140)] und EventData[Data[@Name='ShareName']!='\\IPC$'] und EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Systemzeitänderung (4616)	query="Security!*[System[(EventID=4616)]]"
Lokale Anmeldungen ohne Netzwerk- oder Dienstereignisse	query="Security!*[System[(EventID=4624)] und EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]"
Deaktivierte Ereignisse im Sicherheitsprotokoll (1102), Herunterfahren des EventLog-Diensts (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]]"
Vom Benutzer initiierte Abmeldung	query="Security!*[System[(EventID=4647)]]"
Benutzeranmeldung für alle Nicht-Netzwerkanmeldungssitzungen	query="Security!*[System[(EventID=4634)] und EventData[Data[@Name='LogonType'] != '3']]"
Dienstanmeldungsereignisse, wenn das Benutzerkonto nicht "LocalSystem", "NetworkService", "LocalService" ist	query="Security!*[System[(EventID=4624)] und EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-1 8'] und EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] und EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
Erstellen der Netzwerkfreigabe (5142), Löschen der Netzwerkfreigabe (5144)	query="Security!*[System[(EventID=5142 or EventID=5144)]]"
Prozesserstellung (4688)	query="Security!*[System[EventID=4688]]"
Ereignisprotokolldienstereignisse speziell für den Sicherheitskanal	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Spezielle Berechtigungen (Administratoräquivalenter Zugriff), der neuen Anmeldung zugewiesen ist, mit Ausnahme von LocalSystem	query="Security!*[System[(EventID=4672)] und EventData[1] != 'S-1-5-18']]"
Neuer Benutzer, der lokalen, globalen oder universellen Sicherheitsgruppe hinzugefügt wird	query="Security!*[System[(EventID=4732 or EventID=4728 or EventID=4756)]]"
Benutzer, der aus der lokalen Gruppe "Administratoren" entfernt wurde	query="Security!*[System[(EventID=4733)] und EventData[Data[@Name='TargetUserName']='Administrators']]"
Zertifikatdienste erhalten Zertifikatanforderung (4886), Genehmigtes und ausgestelltes Zertifikat (4887), Abgelehnte Anforderung (4888)	query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]"
Neues Benutzerkonto erstellt(4720), Benutzerkonto aktiviert (4722), Benutzerkonto deaktiviert (4725), Benutzerkonto gelöscht (4726)	query="Security!*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]]"
Alte Antischadsoftwareereignisse, aber nur Ereignisse erkennen (Rauschen reduzieren)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] und (EventID >= 1116 and EventID <= 1119)]]"
Systemstart (12 – umfasst BETRIEBSSYSTEM/SP/Version) und Herunterfahren	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] und (EventID=12 or EventID=13)]]"
Dienstinstallation (7000), Dienststartfehler (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] und (EventID = 7000 or EventID=7045)]]"
Herunterfahren initiiert Anforderungen mit Benutzer, Prozess und Grund (sofern angegeben)	query="System!*[System[Provider[@Name='USER32'] und (EventID=1074)]]"
Ereignisprotokolldienstereignisse	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Andere gelöschte Protokollereignisse (104)	query="System!*[System[(EventID=104)]]"
EMET/Exploit-Schutzereignisse	query="Application!*[System[Provider[@Name='EMET']]]"
WER-Ereignisse nur für Anwendungsabstürzen	query="Application!*[System[Provider[@Name='Windows-Fehlerberichterstattung']] und EventData[Data[3]='APPCRASH']]"
Benutzeranmeldung mit temporärem Profil (1511) kann kein Profil mit temporärem Profil erstellen (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] und (EventID=1511 or EventID=1518)]]"
Anwendungsabsturz-/Hang-Ereignisse, ähnlich wie WER/1001. Dazu gehören der vollständige Pfad zum fehlerhaften EXE/Module.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]]"
Task scheduler Task Registered (106), Task Registration Deleted (141), Task Deleted (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]"
AppLocker-Paketausführung (Modern UI)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
AppLocker-gepackte App-Installation (Modern UI)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Protokollieren versuchter TS-Verbindung mit Remoteservern	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Ruft alle Smartcard Card-Holder Verification (CHV)-Ereignisse (Erfolg und Fehler) auf dem Host ab.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Ruft alle UNC/zugeordneten Laufwerk erfolgreiche Verbindung ab	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 or EventID=30624)]]"
Moderner SysMon-Ereignisanbieter	query="Microsoft-Windows-Sysmon/Operational!*"
Erkennungsereignisse des modernen Windows Defender-Ereignisanbieters (1006-1009) und (1116-1119); plus (5001.5010.5012) req'd von Kunden	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 and EventID <= 1009) or (EventID >= 1116 and EventID <= 1119) or (EventID = 5001 or EventID = 5010 or EventID = 5012) )]]"
Code-Integritätsereignisse	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] und (EventID=3076 or EventID=3077)]]"
CA stop/Start events CA Service Stopped (4880), CA Service Started (4881), CA DB row(s) deleted (4896), CA Template loaded (4898)	query="Security!*[System[(EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898)]]"
RRAS-Ereignisse – nur auf dem Microsoft IAS-Server generiert	query="Security!*[System[( (EventID >= 6272 and EventID <= 6280) )]]"
Prozess beenden (4689)	query="Security!*[System[(EventID = 4689)]]"
Registrierungsänderungsereignisse für Vorgänge: Neuer Registrierungswert erstellt (%%1904), vorhandener Registrierungswert geändert (%%1905), Registrierungswert gelöscht (%%1906)	query="Security!*[System[(EventID=4657)] und (EventData[data[@Name='OperationType'] = '%%1904'] or EventData[@Name='OperationType'] = '%%1905'] or EventData[Data[@Name='OperationType'] = '%%1906'])]"
Anforderung zur Authentifizierung beim Drahtlosnetzwerk (einschließlich Peer MAC (5632))	query="Security!*[System[(EventID=5632)]]"
Ein neues externes Gerät wurde vom System erkannt(6416)	query="Security!*[System[(EventID=6416)]]"
RADIUS-Authentifizierungsereignisse Vom Benutzer zugewiesene IP-Adresse (20274), Benutzer erfolgreich authentifiziert (20250), Benutzer getrennt (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]]"
CAPI-Ereignisse BuildChain (11), Zugriff auf private Schlüssel (70), X509-Objekt (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 or EventID=70 or EventID=90)]]"
Gruppen, die neuen Anmeldungen zugewiesen sind (mit Ausnahme bekannter, integrierter Konten)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] und EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] und EventData[Data] [@Name='TargetUserSid'] != 'S-1-5-18'] und EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
DNS-Clientereignisse	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] und EventData[Data[@Name='QueryOptions'] != '140737488355328'] und EventData[Data[@Name='QueryResults']=']]"
Erkennen von geladenen Treibern für den Benutzermodus – für die potenzielle BadUSB-Erkennung.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Details zur Ausführung der Legacy-PowerShell-Pipeline (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
Defender beendete Ereignisse	query="System!*[System[(EventID=7036)] und EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] und EventData[@Name='param2']='stopped']]"
BitLocker-Verwaltungsereignisse	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Nächste Schritte

Weitere Informationen:

• Sicherheitsgrundwerte für Azure Local.
• Windows Defender-Anwendungssteuerung für Azure Local.
• BitLocker für Azure Local.