다음을 통해 공유

SecurityEvent 테이블에 대한 쿼리

  • 아티클

Azure Portal에서 이러한 쿼리를 사용하는 방법에 대한 자세한 내용은 Log Analytics 자습서를 참조하세요. REST API는 쿼리를 참조 하세요.

보안 이벤트 가장 일반적인 이벤트 ID

이 쿼리는 보안 감사를 위해 EventId당 수집되는 이벤트 양에 대한 내림차순 목록을 표시합니다.

SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc

보안 그룹에 추가된 멤버

지난 날 보안 지원 그룹에 누가 추가되었나요?

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution

텍스트 암호 지우기 사용

마지막 날 동안 텍스트 지우기 암호를 사용하여 로그온한 모든 계정을 나열합니다.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Windows 로그인 실패

로그인하지 못한 Windows 계정의 보고서를 찾습니다.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

모든 보안 활동

시간별로 정렬된 보안 활동(최신 작업 첫 번째).

SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

디바이스의 보안 활동

시간별로 정렬된 특정 디바이스의 보안 활동(최신 첫 번째).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

관리자용 보안 활동

시간별로 정렬된 관리자를 위한 특정 디바이스의 보안 활동(최신 첫 번째).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com"  // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

디바이스별 로그온 작업

디바이스당 로그온 활동 수를 계산합니다.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer

로그온이 10개 이상인 디바이스

10개 이상의 로그온을 사용하는 디바이스당 로그온 활동 수를 계산합니다.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10

계정 종료된 맬웨어 방지

Microsoft 맬웨어 방지 프로그램을 종료한 계정입니다.

SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account

맬웨어 방지가 종료된 디바이스

Microsoft 맬웨어 방지를 종료한 디바이스입니다.

SecurityEvent
| where EventID == 4689 
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer

해시가 실행된 디바이스

hash.exe 5회 이상 실행된 디바이스입니다.

SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5

실행된 프로세스 이름

프로세스당 실행 수를 나열합니다.

SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName

보안 로그가 지워진 디바이스

보안 로그가 있는 디바이스가 지워진 경우

SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer

계정별 로그온 활동

계정별 로그온 작업입니다.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account

로그온 5회 미만의 계정

로그온이 5개 미만인 계정에 대한 로그온 작업입니다.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5

디바이스에서 원격으로 기록된 계정

특정 디바이스에서 원격으로 기록된 계정.

SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account

게스트 계정 로그온이 있는 컴퓨터

게스트 계정의 로그온이 있는 컴퓨터입니다.

SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer

보안 사용 그룹에 추가된 멤버

보안 사용 그룹에 추가된 멤버입니다.

SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount

도메인 보안 정책 변경 내용

변경된 도메인 정책의 이벤트를 계산합니다.

SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged

시스템 감사 정책 변경 내용

시스템 감사 정책이 컴퓨터별로 이벤트를 변경했습니다.

SecurityEvent
| where EventID == 4719
| summarize count() by Computer

의심스러운 실행 파일

의심스러운 실행 파일을 나열합니다.

SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5

텍스트 암호를 지우는 로그온

대상 계정별 텍스트 암호가 지워진 로그온

SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount

정리된 이벤트 로그가 있는 컴퓨터

정리된 이벤트 로그가 있는 컴퓨터.

SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer

계정 로그온 실패

대상 계정별로 실패한 로그온 수를 계산합니다.

SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount

잠긴 계정

대상 계정별로 잠긴 개수입니다.

SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount

암호 변경 또는 재설정 시도

대상 계정당 변경/재설정 파스워드 시도 횟수를 계산합니다.

SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount

그룹 생성 또는 수정

대상 계정당 생성되거나 수정된 그룹입니다.

SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount

원격 프로시저 호출 시도

컴퓨터당 원격 프로시저 호출 시도 수를 계산합니다.

SecurityEvent
| where EventID == 5712
| summarize count() by Computer

사용자 계정 변경됨

대상 계정당 사용자 계정 변경 수를 계산합니다.

SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount