次の方法で共有

SecurityEvent テーブルのクエリ

  • [アーティクル]

Azure portal でこれらのクエリを使用する方法については、 Log Analytics のチュートリアルを参照してください。 REST API については、「 Query」を参照してください。

セキュリティ イベントの最も一般的なイベント ID

このクエリでは、セキュリティ監査のために EventId ごとに取り込まれたイベントの量の降順の一覧が表示されます。

SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc

セキュリティ グループに追加されたメンバー

最後の日にセキュリティが有効なグループに追加されたユーザー

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution

クリア テキスト パスワードの使用

最後の日にクリア テキスト パスワードを使用してログオンしたすべてのアカウントを一覧表示します。

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Windows のログインに失敗しました

ログインに失敗した Windows アカウントのレポートを検索します。

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

All Security Activities (すべてのセキュリティ アクティビティ)

時刻で並べ替えられたセキュリティ アクティビティ (最新の最初)。

SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

デバイス上のセキュリティ アクティビティ

時刻で並べ替えられた特定のデバイス上のセキュリティ アクティビティ (最新の最初)。

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

管理者のセキュリティ アクティビティ

時間で並べ替えられた管理者用の特定のデバイス上のセキュリティ アクティビティ (最新の最初)。

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com"  // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

デバイスごとのログオン アクティビティ

デバイスごとのログオン アクティビティをカウントします。

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer

ログオン数が 10 を超えるデバイス

ログオン数が 10 を超えるデバイスごとのログオン アクティビティをカウントします。

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10

アカウントの終了マルウェア対策

Microsoft マルウェア対策を終了したアカウント。

SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account

マルウェア対策が終了したデバイス

Microsoft マルウェア対策を終了したデバイス。

SecurityEvent
| where EventID == 4689 
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer

ハッシュが実行されたデバイス

hash.exeが 5 回以上実行されたデバイス。

SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5

実行されたプロセス名

プロセスごとの実行数を一覧表示します。

SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName

セキュリティ ログがクリアされたデバイス

セキュリティ保護ログがクリアされたデバイス。

SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer

Logon Activity by Account (アカウント別のログオン アクティビティ)

アカウント別のログオン アクティビティ。

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account

ログオン回数が 5 回未満のアカウント

ログオン数が 5 未満のアカウントのログオン アクティビティ。

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5

デバイス上のリモートログオンアカウント

特定のデバイスでリモートでログに記録されたアカウント。

SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account

ゲスト アカウント ログオンを使用するコンピューター

ゲスト アカウントからのログオンを持つコンピューター。

SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer

セキュリティが有効なグループに追加されたメンバー

セキュリティが有効なグループに追加されたメンバー。

SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount

ドメイン セキュリティ ポリシーの変更

変更されたドメイン ポリシーのイベントをカウントします。

SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged

システム監査ポリシーの変更

システム監査ポリシーによって、コンピューターごとにイベントが変更されました。

SecurityEvent
| where EventID == 4719
| summarize count() by Computer

疑わしい実行可能ファイル

疑わしい実行可能ファイルを一覧表示します。

SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5

クリア テキスト パスワードを使用したログオン

ターゲット アカウント別のクリア テキスト パスワードを使用したログオン。

SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount

クリーンされたイベント ログを含むコンピューター

クリーンアップされたイベント ログを含むコンピューター。

SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer

アカウントのログオンに失敗しました

ターゲット アカウント別に失敗したログオン数をカウントします。

SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount

ロックされたアカウント

ターゲット アカウント別にロックされたアカウント数をカウントします。

SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount

パスワードの変更またはリセットの試行

ターゲット アカウントあたりの変更/リセットパスワード試行回数をカウントします。

SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount

作成または変更されたグループ

ターゲット アカウントごとに作成または変更されたグループ。

SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount

リモート プロシージャ コールの試行

コンピューターごとのリモート プロシージャ コールの試行回数をカウントします。

SecurityEvent
| where EventID == 5712
| summarize count() by Computer

変更されたユーザー アカウント

ターゲット アカウントあたりのユーザー アカウントの変更数をカウントします。

SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount