Administración del reenvío de syslog para Azure Stack HCI

Se aplica a: Azure Stack HCI, versión 23H2

En este artículo se describe cómo configurar los eventos de seguridad para que se reenvíen a un sistema de administración de eventos e información de seguridad administrada por el cliente (SIEM) mediante el protocolo syslog para Azure Stack HCI, versión 23H2 (versión preliminar).

Use el reenvío de syslog para integrarse con las soluciones de supervisión de seguridad y recuperar los registros de eventos de seguridad pertinentes para almacenarlos para su retención en su propia plataforma SIEM. Para más información sobre las características de seguridad de esta versión, consulte Características de seguridad para Azure Stack HCI, versión 23H2 (versión preliminar).

Configuración del reenvío de syslog

Los agentes de reenvío de Syslog se implementan en todos los hosts de Azure Stack HCI de forma predeterminada, listos para configurarse. Cada uno de los agentes reenviará eventos de seguridad en formato syslog desde el host al servidor syslog configurado por el cliente.

Los agentes de reenvío de Syslog funcionan de forma independiente entre sí, pero se pueden administrar todos juntos en cualquiera de los hosts. Use cmdlets de PowerShell con privilegios administrativos en cualquier host para controlar el comportamiento de todos los agentes reenviadores.

El reenviador de syslog en Azure Stack HCI admite las siguientes configuraciones:

• Reenvío de Syslog con TCP, autenticación mutua (cliente y servidor) y cifrado TLS 1.2: En esta configuración, tanto el servidor syslog como el cliente de syslog comprueban la identidad entre sí a través de certificados. Los mensajes se envían a través de un canal cifrado TLS 1.2. Para más información, consulte Reenvío de Syslog con TCP, autenticación mutua (cliente y servidor) y cifrado TLS 1.2.

• Reenvío de Syslog con cifrado TCP, autenticación de servidor y TLS 1.2: En esta configuración, el cliente de syslog comprueba la identidad del servidor de syslog a través de un certificado. Los mensajes se envían a través de un canal cifrado TLS 1.2. Para obtener más información, consulte Reenvío de Syslog con tcp, autenticación de servidor y cifrado TLS 1.2.

• Reenvío de Syslog con TCP y sin cifrado: En esta configuración, no se comprueban las identidades del cliente de syslog y del servidor de syslog. Los mensajes se envían en texto no cifrado a través de TCP. Para obtener más información, consulte Reenvío de Syslog con TCP y sin cifrado.

• Syslog con UDP y sin cifrado: En esta configuración, no se comprueban las identidades del cliente de syslog y del servidor de syslog. Los mensajes se envían en texto no cifrado a través de UDP. Para obtener más información, consulte Reenvío de Syslog con UDP y sin cifrado.

  Importante

  Para protegerse frente a ataques de tipo "man in the middle" y la interceptación de mensajes, Microsoft recomienda encarecidamente usar TCP con autenticación y cifrado en entornos de producción.

Cmdlets para configurar el reenvío de syslog

La configuración del reenviador de syslog requiere acceso al host físico mediante una cuenta de administrador de dominio. Se ha agregado un conjunto de cmdlets de PowerShell a todos los hosts de Azure Stack HCI para controlar el comportamiento del reenviador de syslog.

El Set-AzSSyslogForwarder cmdlet se usa para establecer la configuración del reenviador de syslog para todos los hosts. Si se ejecuta correctamente, se iniciará una instancia del plan de acción para configurar los agentes de reenviador de syslog en todos los hosts. Se devolverá el identificador de instancia del plan de acción.

Use el siguiente cmdlet para pasar la información del servidor syslog al reenviador y para configurar el protocolo de transporte, el cifrado, la autenticación y el certificado opcional usado entre el cliente y el servidor:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parámetros del cmdlet

En la tabla siguiente se proporcionan parámetros para el Set-AzSSyslogForwarder cmdlet :

Parámetro	Descripción	Tipo	Requerido
nombreDeServidor	Dirección IP o FQDN del servidor de syslog.	String	Sí
ServerPort	Número de puerto de escucha del servidor de syslog.	UInt16	Sí
NoEncryption	Obliga al cliente a enviar los mensajes de syslog como texto sin cifrar.	Marca	No
SkipServerCertificateCheck	Se omite la validación del certificado proporcionado por el servidor de syslog durante el protocolo de enlace TLS inicial.	Marca	No
SkipServerCNCheck	Se omite la validación del valor de Nombre común del certificado proporcionado por el servidor de syslog durante el protocolo de enlace TLS inicial.	Marca	No
UseUDP	Se usa syslog con UDP como protocolo de transporte.	Marca	No
ClientCertificateThumbprint	Huella digital del certificado de cliente usado para comunicarse con el servidor syslog.	String	No
OutputSeverity	Nivel de registro de salida. Los valores son Default o Verbose. El valor Default incluye los niveles de seguridad advertencia, crítico o error. El valor Verbose incluye todos los niveles de gravedad: detallado, información, advertencia, crítico o error.	String	No
Quitar	Quite la configuración actual del reenviador de syslog y detenga el reenviador de syslog.	Marca	No

Reenvío de Syslog con TCP, autenticación mutua (cliente y servidor) y cifrado TLS 1.2

En esta configuración, el cliente syslog de Azure Stack HCI reenvía mensajes al servidor syslog a través de TCP con cifrado TLS 1.2. Durante el protocolo de enlace inicial, el cliente comprueba que el servidor proporciona un certificado válido y de confianza. El cliente también proporciona un certificado al servidor como prueba de su identidad.

Esta configuración es la más segura, ya que proporciona una validación completa de la identidad del cliente y del servidor, y envía mensajes a través de un canal cifrado.

Importante

Microsoft recomienda usar esta configuración para entornos de producción.

Para configurar el reenviador de syslog con cifrado TCP, autenticación mutua y TLS 1.2, configure el servidor y proporcione el certificado al cliente para autenticarse en el servidor.

Ejecute el siguiente cmdlet en un host físico:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Importante

El certificado de cliente debe contener una clave privada. Si el certificado de cliente está firmado mediante un certificado raíz autofirmado, también debe importar el certificado raíz.

Reenvío de Syslog con cifrado TCP, autenticación de servidor y TLS 1.2

En esta configuración, el reenviador de syslog de Azure Stack HCI reenvía los mensajes al servidor syslog a través de TCP con cifrado TLS 1.2. Durante el protocolo de enlace inicial, el cliente también comprueba que el servidor proporciona un certificado válido y de confianza.

Esta configuración impide que el cliente envíe mensajes a destinos que no son de confianza. TCP con autenticación y cifrado es la configuración predeterminada, y representa el nivel mínimo de seguridad que Microsoft recomienda para un entorno de producción.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Si quiere probar la integración del servidor syslog con el reenviador de syslog de Azure Stack HCI mediante un certificado autofirmado o que no es de confianza, use estas marcas para omitir la validación del servidor realizada por el cliente durante el protocolo de enlace inicial.

1. Omita la validación del valor de Nombre común en el certificado de servidor. Use esta marca si proporciona una dirección IP para el servidor syslog.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Omita la validación del certificado de servidor.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Importante

   Microsoft recomienda no usar la -SkipServerCertificateCheck marca en entornos de producción.

Reenvío de Syslog con TCP y sin cifrado

En esta configuración, el cliente syslog de Azure Stack HCI reenvía mensajes al servidor syslog a través de TCP sin cifrado. El cliente no comprueba la identidad del servidor ni proporciona su propia identidad al servidor para su comprobación.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Importante

Microsoft recomienda no usar esta configuración en entornos de producción.

Reenvío de Syslog con UDP y sin cifrado

En esta configuración, el cliente de syslog de Azure Stack HCI reenvía mensajes al servidor syslog a través de UDP, sin cifrado. El cliente no comprueba la identidad del servidor ni proporciona su propia identidad al servidor para su comprobación.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Aunque UDP sin cifrado es el más fácil de configurar, no proporciona ninguna protección contra ataques de tipo "man in the middle" ni interceptación de mensajes.

Importante

Microsoft recomienda no usar esta configuración en entornos de producción.

Habilitación del reenvío de syslog

Ejecute el siguiente cmdlet para habilitar el reenvío de syslog:

Enable-AzSSyslogForwarder [-Force]

El reenviador de Syslog se habilitará con la configuración almacenada proporcionada por la última llamada correcta Set-AzSSyslogForwarder . Se producirá un error en el cmdlet si no se ha proporcionado ninguna configuración mediante Set-AzSSyslogForwarder.

Deshabilitación del reenvío de syslog

Ejecute el siguiente cmdlet para deshabilitar el reenvío de syslog:

Disable-AzSSyslogForwarder [-Force] 

Parámetro para Enable-AzSSyslogForwarder los cmdlets y Disable-AzSSyslogForwarder :

Parámetro	Descripción	Tipo	Requerido
Force	Si se especifica, siempre se desencadenará un plan de acción aunque el estado de destino sea el mismo que el actual. Esto puede resultar útil para restablecer los cambios fuera de banda.	Marca	No

Comprobación del programa de instalación de syslog

Después de conectar correctamente el cliente de syslog al servidor de syslog, comenzará a recibir notificaciones de eventos. Si no ve notificaciones, ejecute el siguiente cmdlet para comprobar la configuración del reenviador de syslog del clúster:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Cada host tiene su propio agente de reenviador de syslog que usa una copia local de la configuración del clúster. Siempre se espera que sean los mismos que la configuración del clúster. Puede comprobar la configuración actual en cada host mediante el siguiente cmdlet:

Get-AzSSyslogForwarder -PerNode 

También puede usar el siguiente cmdlet para comprobar la configuración en el host al que está conectado:

Get-AzSSyslogForwarder -Local

Parámetros de cmdlet para el Get-AzSSyslogForwarder cmdlet:

Parámetro	Descripción	Tipo	Requerido
Local	Mostrar la configuración usada actualmente en el host actual.	Marca	No
PerNode	Mostrar la configuración usada actualmente en cada host.	Marca	No
Clúster	Mostrar la configuración global actual en Azure Stack HCI. Este es el comportamiento predeterminado si no se proporciona ningún parámetro.	Marca	No

Eliminación del reenvío de syslog

Ejecute el siguiente comando para quitar la configuración del reenviador de syslog y detener el reenviador de syslog:

Set-AzSSyslogForwarder -Remove 

Referencia del esquema del mensaje y del registro de eventos

El siguiente material de referencia documenta el esquema de mensajes de syslog y las definiciones de eventos.

Esquema de los mensajes de Syslog

El reenviador de syslog de la infraestructura de Azure Stack HCI envía mensajes con formato siguiendo el protocolo syslog BSD definido en RFC3164. CEF también se usa para dar formato a la carga del mensaje syslog.

Cada mensaje de syslog se estructura en función de este esquema: Prioridad (PRI) | Hora | Host | Carga CEF |

La parte PRI contiene dos valores: instalación y gravedad. Ambos dependen del tipo de mensaje, como el evento de Windows, etc.

Esquema o definiciones de carga del formato de evento común

La carga del formato de evento común (CEF) se basa en la estructura siguiente. La asignación de cada campo varía según el tipo de mensaje, como evento de Windows, etc.

CEF: |Versión | Proveedor del dispositivo | Producto del dispositivo | Versión del dispositivo | Id. de firma | Nombre | Gravedad | Extensiones |

• Versión: 0.0
• Proveedor del dispositivo: Microsoft
• Producto del dispositivo: Microsoft Azure Stack HCI
• Versión del dispositivo: 1.0

Ejemplos y asignación de eventos de Windows

Todos los eventos de Windows usan el valor 10 de la instalación pri.

• Id. de firma: ProviderName:EventID
• Nombre: TaskName
• Gravedad: nivel. Para obtener más información, consulte la tabla Gravedad siguiente.
• Extensión: nombre de extensión personalizado. Consulte la tabla siguiente para más detalles:

Gravedad de los eventos de Windows

Valor de gravedad pri	Valor de gravedad de CEF	Nivel de eventos de Windows	Valor masLevel (en extensión)
7	0	No definido	Valor: 0. Indica los registros de todos los niveles.
2	10	Crítico	Valor: 1. Indica los registros de una alerta crítica.
3	8	Error	Valor: 2. Indica los registros de un error.
4	5	Advertencia	Valor: 3. Indica los registros de una advertencia.
6	2	Information	Valor: 4. Indica los registros de un mensaje informativo.
7	0	Verbose	Valor: 5. Indica los registros de un mensaje detallado.

Extensiones personalizadas y eventos de Windows en Azure Stack HCI

Nombre de la extensión personalizada	evento de Windows
MasChannel	Sistema
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription	La configuración de directiva de grupo para el usuario se ha procesado correctamente. No se detectaron cambios desde el último procesamiento correcto de la directiva de grupo.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Auditoría correcta
MasLevel	4
MasOpcode	1
MasOpcodeName	info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	SID de Windows
MasTask	0
MasTaskCategory	Creación de un proceso
MasUserData	KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Eventos varios

Eventos varios que se reenvieron. Estos eventos no se pueden personalizar.

Tipo de evento	Consulta de eventos
Eventos de autenticación wireless Lan 802.1x con dirección MAC del mismo nivel	query="Security!*[System[(EventID=5632)]]"
Nuevo servicio (4697)	query="Security!*[System[(EventID=4697)]]"
Reconexión de sesión de TS (4778), desconexión de sesión de TS (4779)	query="Security!*[System[(EventID=4778 o EventID=4779)]]"
Acceso a objetos de recurso compartido de red sin recursos compartidos IPC$ y Netlogon	query="Security! [System[(EventID=5140)] y EventData[Data[@Name='ShareName']!='\IPC$'] y EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Cambio de hora del sistema (4616)	query="Security!*[System[(EventID=4616)]]"
Inicios de sesión locales sin eventos de red o servicio	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]]
Eventos borrados del registro de seguridad (1102), apagado del servicio EventLog (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]]"
Inicio de sesión iniciado por el usuario	query="Security!*[System[(EventID=4647)]]"
Inicio de sesión de usuario para todas las sesiones de inicio de sesión que no son de red	query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]"
Eventos de inicio de sesión de servicio si la cuenta de usuario no es LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] y EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] y EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
Creación de recursos compartidos de red (5142), Eliminación de recursos compartidos de red (5144)	query="Security!*[System[(EventID=5142 or EventID=5144)]]]
Creación de procesos (4688)	query="Security!*[System[EventID=4688]]]
Eventos del servicio de registro de eventos específicos del canal de seguridad	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Privilegios especiales (acceso equivalente Administración) asignados a un nuevo inicio de sesión, excepto LocalSystem	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]"
Nuevo usuario agregado al grupo de seguridad local, global o universal	query="Security!*[System[(EventID=4732 o EventID=4728 o EventID=4756)]]]
Usuario quitado del grupo de administradores locales	query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]]
Servicios de certificados recibió la solicitud de certificado (4886), Aprobado y Certificado emitido (4887), Solicitud denegada (4888)	query="Security!*[System[(EventID=4886 o EventID=4887 o EventID=4888)]]"
Nueva cuenta de usuario creada(4720), cuenta de usuario habilitada (4722), cuenta de usuario deshabilitada (4725), cuenta de usuario eliminada (4726)	query="Security!*[System[(EventID=4720 o EventID=4722 o EventID=4725 o EventID=4726)]]"
Eventos antiguos antimalware, pero solo detectar eventos (reduce el ruido)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] y (EventID >= 1116 y EventID <= 1119)]]"
Inicio del sistema (12: incluye OS/SP/Version) y apagado	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] y (EventID=12 o EventID=13)]]]
Instalación del servicio (7000), error de inicio del servicio (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 o EventID=7045)]]]
Cierre de solicitudes de inicio, con usuario, proceso y motivo (si se proporciona)	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]]
Eventos del servicio de registro de eventos	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Otros eventos borrados del registro (104)	query="System!*[System[(EventID=104)]]"
Eventos de protección de EMET/Exploit	query="Application!*[System[Provider[@Name='EMET']]
Eventos WER solo para bloqueos de aplicación	query="Application!*[System[Provider[@Name='Informe de errores de Windows']] and EventData[Data[3]='APPCRASH']]"
El usuario inicia sesión con el perfil temporal (1511), no puede crear un perfil mediante el perfil temporal (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 o EventID=1518)]]"
Eventos de bloqueo o bloqueo de la aplicación, similares a WER/1001. Entre ellas se incluye la ruta de acceso completa a EXE/Module con errores.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]]"
Task Scheduler Task Registered (106), Task Registration Deleted (141), Task Deleted (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] y (EventID=106 o EventID=141 o EventID=142 )]]"
Ejecución de la aplicación empaquetada en AppLocker (interfaz de usuario moderna)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Instalación de aplicaciones empaquetadas (interfaz de usuario moderna) de AppLocker	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Registro en el que se intentó conectarse TS al servidor remoto	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Obtiene todos los eventos de verificación de Card-Holder de tarjeta inteligente (CHV) (correctos y erróneos) realizados en el host.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Obtiene todas las unidades UNC o asignadas correctamente.	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 o EventID=30624)]]]
Proveedor de eventos SysMon moderno	query="Microsoft-Windows-Sysmon/Operational!*"
Eventos modernos de detección de proveedor de eventos de Windows Defender (1006-1009) y (1116-1119); además de (5001,5010,5012) req'd por los clientes	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 y EventID <= 1009) o (EventID >= 1116 y EventID <= 1119) o (EventID = 5001 o EventID = 5010 o EventID = 5012) )]]"
Eventos de integridad de código	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] y (EventID=3076 o EventID=3077)]]"
Ca stop/Start events CA Service Stopped (4880), CA Service Started (4881), CA DB row(s) deleted (4896), CA Template loaded (4898)	query="Security!*[System[(EventID=4880 o EventID = 4881 o EventID = 4896 o EventID = 4898)]]"
Eventos RRAS: solo generados en el servidor de Microsoft IAS	query="Security!*[System[( (EventID >= 6272 y EventID <= 6280) )]]"
Finalización del proceso (4689)	query="Security!*[System[(EventID = 4689)]]"
Eventos modificados del Registro para operaciones: nuevo valor del Registro creado (%%1904), valor del Registro existente modificado (%%1905), valor del Registro eliminado (%%1906)	query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] or EventData[Data[@Name='OperationType'] = '%%1905'] o EventData[Data[@Name='OperationType'] = '%%1906'])]
Solicitud realizada para autenticarse en la red inalámbrica (incluido mac del mismo nivel (5632))	query="Security!*[System[(EventID=5632)]]"
System(6416) reconoció un nuevo dispositivo externo.	query="Security!*[System[(EventID=6416)]]"
Eventos de autenticación RADIUS Dirección IP asignada por el usuario (20274), Usuario autenticado correctamente (20250), Usuario desconectado (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 o EventID=20250 o EventID=20275)]]"
Eventos CAPI Cadena de compilación (11), Clave privada a la que se accede (70), objeto X509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 o EventID=70 o EventID=90)]]"
Grupos asignados a un nuevo inicio de sesión (excepto las cuentas integradas conocidas)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] y EventData[Data[Data[] @Name='TargetUserSid'] != 'S-1-5-18'] y EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
Eventos de cliente DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']='']]
Detectar controladores de User-Mode cargados: para la posible detección de BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Detalles de ejecución de canalización de PowerShell heredados (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
Eventos detenidos de Defender	query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] and EventData[Data[@Name='param2']='stopped']]"
Eventos de administración de BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Pasos siguientes

Más información sobre:

• Configuración de línea de base de seguridad para Azure Stack HCI.
• Windows Defender Control de aplicaciones para Azure Stack HCI.
• BitLocker para Azure Stack HCI.