Abfragen für die SecurityEvent-Tabelle
Informationen zur Verwendung dieser Abfragen im Azure-Portal finden Sie im Log Analytics-Lernprogramm. Informationen zur REST-API finden Sie unter "Abfrage".
Häufigste Ereignis-IDs für Sicherheitsereignisse
Diese Abfrage zeigt eine absteigende Liste der Ereignisse an, die pro EventId für die Sicherheitsüberwachung aufgenommen wurden.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Mitglieder, die Sicherheitsgruppen hinzugefügt wurden
Wer wurde der Sicherheitsaktivierten Gruppe am letzten Tag hinzugefügt?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Verwendung eines Klartextkennworts
Listet alle Konten auf, die am letzten Tag mit einem Klartextkennwort angemeldet sind.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Windows fehlgeschlagene Anmeldungen
Suchen Sie Berichte von Windows-Konten, die sich nicht anmelden konnten.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Alle Sicherheitsaktivitäten
Sicherheitsaktivitäten werden nach Zeit sortiert (neustes zuerst).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Sicherheitsaktivitäten auf dem Gerät
Sicherheitsaktivitäten auf einem bestimmten Gerät sortiert nach Zeit (neustes zuerst).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Sicherheitsaktivitäten für Administratoren
Sicherheitsaktivitäten auf einem bestimmten Gerät für Administratoren nach Zeit sortiert (neu zuerst).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Anmeldeaktivität nach Gerät
Zählt Anmeldeaktivitäten pro Gerät.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Geräte mit mehr als 10 Anmeldungen
Zählt Anmeldeaktivitäten pro Gerät mit mehr als 10 Anmeldungen.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Konten beendete Antischadsoftware
Konten, die Microsoft Antischadsoftware beendet haben.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Geräte mit Antischadsoftware beendet
Geräte, die Microsoft Antischadsoftware beendet haben.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Geräte, auf denen Hash ausgeführt wurde
Geräte, auf denen hash.exe mehr als 5 Mal ausgeführt wurde.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Ausgeführte Prozessnamen
Listet die Anzahl der Ausführungen pro Prozess auf.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Geräte mit deaktivierter Sicherheitsprotokoll
Geräte mit deaktivierten Sicherungsprotokollen.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Anmeldeaktivität nach Konto
Anmeldeaktivität nach Konto.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Konten mit weniger als 5-malen Anmeldungen
Anmeldeaktivität für Konten mit weniger als 5 Anmeldungen.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Remote-Protokollierte Konten auf Geräten
Remoteprotokollierte Konten auf einem bestimmten Gerät.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Computer mit Gastkontoanmeldungen
Computer mit Anmeldungen von Gastkonten.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Mitglieder, die sicherheitsaktivierten Gruppen hinzugefügt wurden
Mitglieder, die den Sicherheitsgruppen hinzugefügt wurden.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Änderungen der Domänensicherheitsrichtlinie
Zählt Ereignisse der geänderten Domänenrichtlinie.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Änderungen der Systemüberwachungsrichtlinien
Systemüberwachungsrichtlinien haben Ereignisse nach Computer geändert.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Verdächtige ausführbare Dateien
Listet verdächtige ausführbare Dateien auf.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Anmeldungen mit Klartextkennwort
Anmeldungen mit Klartextkennwort nach Zielkonto.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Computer mit bereinigten Ereignisprotokollen
Computer mit bereinigten Ereignisprotokollen.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Fehler bei der Anmeldung von Konten
Anzahl fehlgeschlagener Anmeldungen nach Zielkonto.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Gesperrte Konten
Zählt gesperrte Anzahlen nach Zielkonto.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Ändern oder Zurücksetzen von Kennwörtern
Zählt Änderungs-/Zurücksetzungsversuche pro Zielkonto.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Erstellte oder geänderte Gruppen
Gruppen, die pro Zielkonto erstellt oder geändert wurden.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Remoteprozeduraufrufversuche
Zählt Remoteprozeduraufrufe pro Computer.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Benutzerkonten geändert
Zählt Die Änderungen des Benutzerkontos pro Zielkonto.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount