Syslog forwarding beheren voor Azure Local

Van toepassing op: Azure Local 2311.2 en hoger

In dit artikel wordt beschreven hoe u beveiligingsgebeurtenissen configureert die moeten worden doorgestuurd naar een door de klant beheerd SIEM-systeem (Security Information and Event Management) met behulp van het Syslog-protocol voor Azure Local.

Gebruik syslog forwarding om te integreren met beveiligingsbewakingsoplossingen en om relevante beveiligingslogboeken op te halen om ze op te slaan voor retentie op uw eigen SIEM-platform. Raadpleeg voor meer informatie over beveiligingsfuncties in deze release Beveiligingsfuncties voor Azure Local.

Syslog-doorstuurfunctie configureren

Syslog-doorstuuragents worden standaard geïmplementeerd op elke lokale Azure-host, klaar om te worden geconfigureerd. Elke agent stuurt beveiligingsgebeurtenissen in syslog-indeling van de host door naar de door de klant geconfigureerde Syslog-server.

Syslog-doorstuuragents werken onafhankelijk van elkaar, maar kunnen allemaal worden beheerd op een van de hosts. Gebruik PowerShell-cmdlets met beheerdersbevoegdheden op elke host om het gedrag van alle doorstuurserveragents te beheren.

De syslog-doorstuurserver in Azure Local ondersteunt de volgende configuraties:

• Syslog doorsturen met TCP, wederzijdse verificatie (client en server) en TLS-versleuteling: in deze configuratie verifiëren zowel de syslog-server als de syslog-client de identiteit van elkaar via certificaten. Berichten worden verzonden via een versleuteld TLS-kanaal. Zie Syslog doorsturen met TCP, wederzijdse verificatie (client en server) en TLS-versleuteling voor meer informatie.

• Syslog forwarding met TCP, serververificatie en TLS-versleuteling: In deze configuratie controleert de Syslog-client de identiteit van de syslog-server via een certificaat. Berichten worden verzonden via een versleuteld TLS-kanaal. Zie Syslog doorsturen met TCP, serververificatie en TLS-versleuteling voor meer informatie.

• Syslog doorsturen met TCP en geen versleuteling: in deze configuratie worden de syslog-client- en syslog-serveridentiteiten niet geverifieerd. Berichten worden verzonden in duidelijke tekst via TCP. Zie Syslog doorsturen met TCP en geen versleuteling voor meer informatie.

• Syslog met UDP en geen versleuteling: in deze configuratie worden de identiteiten van de syslog-client en syslog-server niet geverifieerd. Berichten worden verzonden in duidelijke tekst via UDP. Zie Syslog doorsturen met UDP en geen versleuteling voor meer informatie.

  Belangrijk

  Om te beschermen tegen man-in-the-middle-aanvallen en het afluisteren van berichten, raadt Microsoft u ten zeerste aan TCP te gebruiken met verificatie en versleuteling in productieomgevingen. TLS-versleutelingsversie is afhankelijk van de handshake tussen de eindpunten. Zowel TLS 1.2 als TLS 1.3 worden standaard ondersteund.

Cmdlets voor het configureren van syslog forwarding

Voor het configureren van syslog-doorstuurserver is toegang tot de fysieke host vereist met behulp van een domeinbeheerdersaccount. Er wordt een set PowerShell-cmdlets toegevoegd aan alle lokale Azure-hosts om het gedrag van de syslog-doorstuurserver te beheren.

De Set-AzSSyslogForwarder cmdlet wordt gebruikt om de configuratie van de syslog-doorstuurserver in te stellen voor alle hosts. Als dit lukt, wordt een exemplaar van een actieplan gestart om de syslog-doorstuuragents op alle hosts te configureren. De exemplaar-id van het actieplan wordt geretourneerd.

Gebruik de volgende cmdlet om de syslog-servergegevens door te geven aan de doorstuurserver en om het transportprotocol, de versleuteling, de verificatie en het optionele certificaat dat wordt gebruikt tussen de client en de server te configureren:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Cmdlet-parameters

De volgende tabel bevat parameters voor de Set-AzSSyslogForwarder cmdlet:

Parameter	Description	Type	Vereist
ServerName	FQDN of IP-adres van de syslog-server.	String	Ja
ServerPort	Poortnummer waarop de syslog-server luistert.	UInt16	Ja
NoEncryption	Forceer de client om syslog-berichten in duidelijke tekst te verzenden.	Vlag	Nee
SkipServerCertificateCheck	De validatie van het certificaat dat door de syslog-server wordt geleverd tijdens de eerste TLS-handshake overslaan.	Vlag	Nee
SkipServerCNCheck	Sla validatie over van de algemene naamwaarde van het certificaat dat door de syslog-server wordt geleverd tijdens de eerste TLS-handshake.	Vlag	Nee
UseUDP	Syslog gebruiken met UDP als transportprotocol.	Vlag	Nee
ClientCertificateThumbprint	Vingerafdruk van het clientcertificaat dat wordt gebruikt om te communiceren met de Syslog-server.	String	Nee
OutputSeverity	Niveau van uitvoerlogboekregistratie. Waarden zijn standaard of uitgebreid. Standaard bevat ernstniveaus: waarschuwing, kritiek of fout. Uitgebreid omvat alle ernstniveaus: uitgebreid, informatief, waarschuwing, kritiek of fout.	String	Nee
Verwijderen	Verwijder de huidige configuratie van de syslog-doorstuurserver en stop syslog-doorstuurserver.	Vlag	Nee

Syslog doorsturen met TCP, wederzijdse verificatie (client en server) en TLS-versleuteling

In deze configuratie stuurt de syslog-client in Azure Local berichten door naar de syslog-server via TCP met TLS-versleuteling. Tijdens de eerste handshake controleert de client of de server een geldig, vertrouwd certificaat biedt. De client biedt ook een certificaat aan de server als bewijs van de identiteit.

Deze configuratie is het veiligst omdat deze volledige validatie van de identiteit van zowel de client als de server biedt en berichten verzendt via een versleuteld kanaal.

Belangrijk

Microsoft raadt u aan deze configuratie te gebruiken voor productieomgevingen.

Als u syslog-doorstuurserver wilt configureren met TCP, wederzijdse verificatie en TLS-versleuteling, configureert u de server en geeft u het certificaat aan de client op voor verificatie op basis van de server.

Voer de volgende cmdlet uit op een fysieke host:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Belangrijk

Het clientcertificaat moet een persoonlijke sleutel bevatten. Als het clientcertificaat is ondertekend met een zelfondertekend basiscertificaat, moet u ook het basiscertificaat importeren.

Syslog doorsturen met TCP, serververificatie en TLS-versleuteling

In deze configuratie stuurt de syslog-doorstuurserver in Azure Local de berichten door naar de syslog-server via TCP met TLS-versleuteling. Tijdens de eerste handshake controleert de client ook of de server een geldig, vertrouwd certificaat biedt.

Deze configuratie voorkomt dat de client berichten naar niet-vertrouwde bestemmingen verzendt. TCP met behulp van verificatie en versleuteling is de standaardconfiguratie en vertegenwoordigt het minimale beveiligingsniveau dat Microsoft aanbeveelt voor een productieomgeving.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Als u de integratie van uw syslog-server wilt testen met de Azure Local Syslog-doorstuurserver met behulp van een zelfondertekend of niet-vertrouwd certificaat, gebruikt u deze vlaggen om de servervalidatie die door de client wordt uitgevoerd tijdens de eerste handshake over te slaan.

1. Validatie van de waarde Algemene naam in het servercertificaat overslaan. Gebruik deze vlag als u een IP-adres opgeeft voor uw syslog-server.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Sla de validatie van het servercertificaat over.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Belangrijk

   Microsoft raadt u aan de vlag -SkipServerCertificateCheck niet te gebruiken in productieomgevingen.

Syslog doorsturen met TCP en geen versleuteling

In deze configuratie stuurt de syslog-client in Azure Local berichten door naar de syslog-server via TCP zonder versleuteling. De client controleert de identiteit van de server niet en biedt ook geen eigen identiteit aan de server voor verificatie.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Belangrijk

Microsoft raadt u aan deze configuratie niet te gebruiken in productieomgevingen.

Syslog doorsturen met UDP en geen versleuteling

In deze configuratie stuurt de syslog-client in Azure Local berichten door naar de syslog-server via UDP, zonder versleuteling. De client controleert de identiteit van de server niet en biedt ook geen eigen identiteit aan de server voor verificatie.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Hoewel UDP zonder versleuteling het eenvoudigst kan worden geconfigureerd, biedt het geen bescherming tegen man-in-the-middle-aanvallen of het afluisteren van berichten.

Belangrijk

Microsoft raadt u aan deze configuratie niet te gebruiken in productieomgevingen.

Syslog-doorstuurfunctie inschakelen

Voer de volgende cmdlet uit om syslog forwarding in te schakelen:

Enable-AzSSyslogForwarder [-Force]

Syslog-doorstuurserver wordt ingeschakeld met de opgeslagen configuratie die wordt geleverd door de laatste geslaagde Set-AzSSyslogForwarder aanroep. De cmdlet mislukt als er geen configuratie is opgegeven met behulp van Set-AzSSyslogForwarder.

Syslog-doorstuurfunctie uitschakelen

Voer de volgende cmdlet uit om syslog forwarding uit te schakelen:

Disable-AzSSyslogForwarder [-Force] 

Parameter voor Enable-AzSSyslogForwarder en Disable-AzSSyslogForwarder cmdlets:

Parameter	Description	Type	Vereist
Force	Indien opgegeven, wordt er altijd een actieplan geactiveerd, zelfs als de doelstatus gelijk is aan de huidige status. Dit kan handig zijn om out-of-band-wijzigingen opnieuw in te stellen.	Vlag	Nee

Syslog-installatie controleren

Nadat u de syslog-client hebt verbonden met uw Syslog-server, ontvangt u gebeurtenismeldingen. Als u geen meldingen ziet, controleert u de configuratie van de syslog-doorstuurserver van uw cluster door de volgende cmdlet uit te voeren:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Elke host heeft een eigen syslog-doorstuuragent die gebruikmaakt van een lokale kopie van de clusterconfiguratie. Van hen wordt altijd verwacht dat ze hetzelfde zijn als de clusterconfiguratie. U kunt de huidige configuratie op elke host controleren met behulp van de volgende cmdlet:

Get-AzSSyslogForwarder -PerNode 

U kunt ook de volgende cmdlet gebruiken om de configuratie te controleren op de host met wie u bent verbonden:

Get-AzSSyslogForwarder -Local

Cmdlet-parameters voor de Get-AzSSyslogForwarder cmdlet:

Parameter	Description	Type	Vereist
Lokaal	Momenteel gebruikte configuratie weergeven op de huidige host.	Vlag	Nee
PerNode	Momenteel gebruikte configuratie weergeven op elke host.	Vlag	Nee
Cluster	Huidige globale configuratie weergeven in Azure Local. Dit is het standaardgedrag als er geen parameter wordt opgegeven.	Vlag	Nee

Syslog forwarding verwijderen

Voer de volgende opdracht uit om de configuratie van de syslog-doorstuurserver te verwijderen en de syslog-doorstuurserver te stoppen:

Set-AzSSyslogForwarder -Remove 

Naslaginformatie over het berichtschema en gebeurtenislogboek

Het volgende referentiemateriaal documenteert syslog-berichtschema en gebeurtenisdefinities.

Syslog-berichtschema

De syslog-doorstuurserver van de Lokale Azure-infrastructuur verzendt berichten die zijn opgemaakt volgens het syslog-protocol van BSD dat is gedefinieerd in RFC3164. CEF wordt ook gebruikt om de nettolading van het syslog-bericht op te maken.

Elk syslog-bericht is gestructureerd op basis van dit schema: Prioriteit (PRI) | Tijd | Host | CEF-nettolading |

Het PRI-onderdeel bevat twee waarden: faciliteit en ernst. Beide zijn afhankelijk van het type bericht, zoals Windows-gebeurtenis, enzovoort.

Algemene schema's/definities voor payload-indeling van gebeurtenisindeling

De CEF-nettolading (Common Event Format) is gebaseerd op de volgende structuur. De toewijzing voor elk veld is afhankelijk van het type bericht, zoals Windows-gebeurtenis, enzovoort.

CEF: |Versie | Apparaatleverancier | Apparaatproduct | Apparaatversie | Handtekening-id | Naam | Ernst | Extensies |

• Versie: 0.0
• Apparaatleverancier: Microsoft
• Apparaatproduct: Lokaal in Microsoft Azure
• Apparaatversie: 1.0

Windows-gebeurtenistoewijzing en -voorbeelden

Alle Windows-gebeurtenissen gebruiken de PRI-faciliteitwaarde 10.

• Handtekening-id: ProviderName:EventID
• Naam: TaskName
• Ernst: Niveau. Zie de volgende tabel Ernst voor meer informatie.
• Extensie: naam van aangepaste extensie. Zie de volgende tabel voor meer informatie.

Ernst van Windows-gebeurtenissen

PRI-ernstwaarde	CEF-ernstwaarde	Windows-gebeurtenisniveau	MasLevel-waarde (in extensie)
7	0	Undefined	Waarde: 0. Geeft logboeken op alle niveaus aan.
2	10	Kritiek	Waarde: 1. Hiermee worden logboeken voor een kritieke waarschuwing aangegeven.
3	8	Error	Waarde: 2. Geeft logboeken voor een fout aan.
4	5	Waarschuwing	Waarde: 3. Geeft logboeken aan voor een waarschuwing.
6	2	Gegevens	Waarde: 4. Geeft logboeken aan voor een informatief bericht.
7	0	Uitgebreid	Waarde: 5. Geeft logboeken voor een uitgebreid bericht aan.

Aangepaste extensies en Windows-gebeurtenissen in Azure Local

Naam van aangepaste extensie	Windows-gebeurtenis
MasChannel	Systeem
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	De groepsbeleidsinstellingen voor de gebruiker zijn verwerkt. Er zijn geen wijzigingen gedetecteerd sinds de laatste geslaagde verwerking van Groepsbeleid.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Controle geslaagd
MasLevel	4
MasOpcode	1
MasOpcodeName	Info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows-SID
MasTask	0
MasTaskCategory	Proces maken
MasUserData	KB4093112!! 5112!! Geïnstalleerd!! 0x0! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Diverse gebeurtenissen

Diverse gebeurtenissen die worden doorgestuurd. Deze gebeurtenissen kunnen niet worden aangepast.

Gebeurtenistype	Gebeurtenisquery
Wireless Lan 802.1x-verificatie-gebeurtenissen met peer-MAC-adres	query="Security!*[System[(EventID=5632)]"
Nieuwe service (4697)	query="Security!*[System[(EventID=4697)]] "
Opnieuw verbinding maken met TS-sessie (4778), verbinding met TS-sessie (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]] "
Toegang tot netwerkshareobjecten zonder IPC$ en Netlogon-shares	query="Beveiliging![System[(EventID=5140)] en EventData[Data[@Name='ShareName']!='\\IPC$'] en EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Systeemtijdwijziging (4616)	query="Security!*[System[(EventID=4616)]] "
Lokale aanmeldingen zonder netwerk- of service-gebeurtenissen	query="Security!*[System[(EventID=4624)] en EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]"
Uitgeschakeld beveiligingslogboek (1102), EventLog Service afsluiten (1100)	query="Security!*[System[(EventID=1102 of EventID=1100)]] "
Door de gebruiker geïnitieerde afmelding	query="Security!*[System[(EventID=4647)]] "
Gebruikersaanmelding voor alle niet-netwerkaanmeldingssessies	query="Security!*[System[(EventID=4634)] en EventData[Data[@Name='LogonType'] != '3']]"
Aanmeldingsevenementen van de service als het gebruikersaccount geen LocalSystem, NetworkService, LocalService is	query="Security!*[System[(EventID=4624)] en EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18 '] en EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] en EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']] "
Netwerkshare maken (5142), netwerkshare verwijderen (5144)	query="Security!*[System[(EventID=5142 or EventID=5144)]] "
Proces maken (4688)	query="Security!*[System[EventID=4688]] "
Gebeurtenislogboekservice-gebeurtenissen die specifiek zijn voor beveiligingskanaal	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]] "
Speciale bevoegdheden (beheerdersequivalente toegang) die zijn toegewezen aan nieuwe aanmelding, met uitzondering van LocalSystem	query="Security!*[System[(EventID=4672)] en EventData[Data[1] != 'S-1-5-18']] "
Nieuwe gebruiker toegevoegd aan lokale, globale of universele beveiligingsgroep	query="Security!*[System[(EventID=4732 of EventID=4728 of EventID=4756)]] "
Gebruiker verwijderd uit de lokale groep Administrators	query="Security!*[System[(EventID=4733)] en EventData[Data[@Name='TargetUserName']='Administrators']] "
Certificate Services heeft een certificaataanvraag ontvangen (4886), goedgekeurd en uitgegeven certificaat (4887), aanvraag geweigerd (4888)	query="Security!*[System[(EventID=4886 of EventID=4887 of EventID=4888)]"
Nieuw gebruikersaccount gemaakt(4720), gebruikersaccount ingeschakeld (4722), gebruikersaccount uitgeschakeld (4725), gebruikersaccount verwijderd (4726)	query="Security!*[System[(EventID=4720 of EventID=4722 of EventID=4725 of EventID=4726)]] "
Oude gebeurtenissen tegen malware, maar alleen gebeurtenissen detecteren (vermindert ruis)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] en (EventID >= 1116 en EventID <= 1119)]] "
Systeem opstarten (12 - bevat OS/SP/Versie) en afsluiten	query="System!*[System[System[Provider[@Name='Microsoft-Windows-Kernel-General'] en (EventID=12 of EventID=13)]] "
Service-installatie (7000), fout bij het starten van de service (7045)	query="System!*[System[System[Provider[@Name='Service Control Manager'] en (EventID = 7000 of EventID=7045)]"
Startaanvragen afsluiten, met gebruiker, proces en reden (indien opgegeven)	query="System!*[System[System[Provider[@Name='USER32'] en (EventID=1074)]"
Gebeurtenislogboekservice-gebeurtenissen	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]] "
Andere gewiste logboekgebeurtenissen (104)	query="System!*[System[(EventID=104)]] "
EMET/Exploit Protection-gebeurtenissen	query="Application!*[System[Provider[@Name='EMET']]] "
ALLEEN WER-gebeurtenissen voor toepassingscrashes	query="Application!*[System[Provider[@Name='Windows Foutrapportage']] and EventData[Data[3]='APPCRASH']] "
Gebruikers die zich aanmelden met een tijdelijk profiel (1511), kunnen geen profiel maken met behulp van een tijdelijk profiel (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] en (EventID=1511 of EventID=1518)]] "
Vastlopen/vastlopen van toepassingen, vergelijkbaar met WER/1001. Deze omvatten het volledige pad naar foutieve EXE/Module.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] of System[Provider[@Name='Application Hang'] and (EventID=1002)]"
Taakplanner geregistreerd (106), Taakregistratie verwijderd (141), Taak verwijderd (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] en (EventID=106 of EventID=141 of EventID=142 )]] "
AppLocker-app-uitvoering verpakt (moderne gebruikersinterface)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
AppLocker-app-installatie (Modern UI)-pakket	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Er is geprobeerd verbinding te maken met een externe server	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Hiermee haalt u alle CHV-gebeurtenissen (SmartCard-Holder Verification) op die op de host zijn uitgevoerd.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Hiermee haalt u alle UNC/toegewezen station verbinding	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 of EventID=30624)]"
Moderne SysMon-gebeurtenisprovider	query="Microsoft-Windows-Sysmon/Operational!*"
Moderne detectiegebeurtenissen van Windows Defender-gebeurtenisproviders (1006-1009) en (1116-1119); plus (5001.5010.5012) door klanten	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 en EventID <= 1009) of (EventID >= 1116 en EventID = 1119) of (EventID <= 5001 of EventID = 5010 of EventID = 5012) )]]"
Code-integriteitsgebeurtenissen	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] en (EventID=3076 of EventID=3077)]"
CA-stop-/startgebeurtenissen CA-service gestopt (4880), CA-service gestart (4881), CA DB-rij(s) verwijderd (4896), CA-sjabloon geladen (4898)	query="Security!*[System[(EventID=4880 of EventID = 4881 of EventID = 4896 of EventID = 4898)]]"
RRAS-gebeurtenissen: alleen gegenereerd op de Microsoft IAS-server	query="Security!*[System[( (EventID >= 6272 en EventID <= 6280) )]] "
Proces beëindigen (4689)	query="Security!*[System[(EventID = 4689)]] "
Door register gewijzigde gebeurtenissen voor bewerkingen: nieuwe registerwaarde gemaakt (%%1904), bestaande registerwaarde gewijzigd (%%1905), registerwaarde verwijderd (%%1906)	query="Security!*[System[(EventID=4657)] en (EventData[Data[@Name='OperationType'] = '%%1904'] of EventData[Data[@Name='OperationType'] = '%%1905'] of EventData[Data[@Name='OperationType'] = '%%1906']]]
Aanvraag voor verificatie bij draadloos netwerk (inclusief Peer MAC (5632))	query="Security!*[System[(EventID=5632)]"
Er is een nieuw extern apparaat herkend door het systeem(6416)	query="Security!*[System[(EventID=6416)]] "
RADIUS-verificatiegebeurtenissen door gebruiker toegewezen IP-adres (20274), gebruiker is geverifieerd (20250), gebruiker is verbroken (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] en (EventID=20274 of EventID=20250 of EventID=20275)]"
CAPI-gebeurtenissen Build Chain (11), persoonlijke sleutel geopend (70), X509-object (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 of EventID=70 of EventID=90)]] "
Groepen die zijn toegewezen aan nieuwe aanmelding (met uitzondering van bekende, ingebouwde accounts)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] en EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] en EventData[Data[Data[Data[@Name='TargetUserSid'] != 'S-1-5-18'] en EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
DNS-client gebeurtenissen	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']='']]"
Stuurprogramma's in de gebruikersmodus detecteren die zijn geladen, voor mogelijke BadUSB-detectie.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Uitvoeringsdetails van verouderde PowerShell-pijplijn (800)	query="Windows PowerShell!*[System[(EventID=800)]] "
Gebeurtenissen die Door Defender zijn gestopt	query="System!*[System[(EventID=7036)] en EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] and EventData[Data[@Name='param2']='stopped']]"
BitLocker-beheer gebeurtenissen	query="Microsoft-Windows-BitLocker/BitLocker-beheer!*"

Volgende stappen

Meer informatie over:

• Beveiligingsbasislijninstellingen voor Azure Local.
• Windows Defender Application Control voor Azure Local.
• BitLocker voor Azure Local.