Consultas para la tabla SecurityEvent
Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.
Identificadores de eventos de seguridad más comunes
Esta consulta muestra una lista descendente de la cantidad de eventos ingeridos por EventId para la auditoría de seguridad.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Miembros agregados a grupos de seguridad
¿Quién se agregó al grupo habilitado para seguridad durante el último día?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Usos de contraseña de texto no cifrado
Enumere todas las cuentas que iniciaron sesión con una contraseña de texto no cifrado durante el último día.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Inicios de sesión con errores de Windows
Busque informes de cuentas de Windows que no pudieron iniciar sesión.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Todas las actividades de seguridad
Actividades de seguridad ordenadas por hora (más reciente primero).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Actividades de seguridad en el dispositivo
Actividades de seguridad en un dispositivo específico ordenados por hora (primero más reciente).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Actividades de seguridad para administradores
Actividades de seguridad en un dispositivo específico para el administrador ordenados por hora (más reciente primero).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Actividad de inicio de sesión por dispositivo
Cuenta las actividades de inicio de sesión por dispositivo.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Dispositivos con más de 10 inicios de sesión
Cuenta las actividades de inicio de sesión por dispositivos con más de 10 inicios de sesión.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Cuentas terminadas antimalware
Cuentas que finalizaron Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Dispositivos con antimalware terminado
Dispositivos que finalizaron Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Dispositivos donde se ejecutó hash
Dispositivos en los que se ejecutó hash.exe más de 5 veces.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Nombres de proceso ejecutados
Muestra el número de ejecuciones por proceso.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Dispositivos con registro de seguridad borrado
Dispositivos con registro securtiy borrado.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Actividad de inicio de sesión por cuenta
Actividad de inicio de sesión por cuenta.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Cuentas con menos de 5 inicios de sesión
Actividad de inicio de sesión para cuentas con menos de 5 inicios de sesión.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Cuentas registradas remotas en dispositivos
Cuentas registradas remotas en un dispositivo específico.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Equipos con inicios de sesión de cuenta de invitado
Equipos con inicios de sesión de cuentas de invitado.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Miembros agregados a grupos habilitados para seguridad
Miembros agregados a los grupos habilitados para seguridad.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Cambios en la directiva de seguridad de dominio
Cuenta los eventos de la directiva de dominio modificadas.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Cambios en la directiva de auditoría del sistema
La directiva de auditoría del sistema ha cambiado los eventos por equipo.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Ejecutables sospechosos
Enumera los ejecutables sospechosos.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Inicios de sesión con contraseña de texto no cifrado
Inicia sesión con contraseña de texto no cifrado por cuenta de destino.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Equipos con registros de eventos limpios
Equipos con registros de eventos limpios.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Las cuentas no pudieron iniciar sesión
Cuenta con errores de inicios de sesión por cuenta de destino.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Cuentas bloqueadas
Cuenta recuentos bloqueados por cuenta de destino.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Cambiar o restablecer intentos de contraseña
Cuenta los intentos de cambio y restablecimiento de paswords por cuenta de destino.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Grupos creados o modificados
Grupos creados o modificados por cuenta de destino.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Intentos de llamada a procedimiento remoto
Cuenta los intentos de llamada a procedimiento remoto por equipo.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Cuentas de usuario modificadas
Cuenta los cambios de cuenta de usuario por cuenta de destino.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount