Delen via

Query's voor de tabel SecurityEvent

  • Artikel

Zie de zelfstudie over Log Analytics voor meer informatie over het gebruik van deze query's in Azure Portal. Zie Query voor de REST API.

Meest voorkomende gebeurtenis-id's voor beveiligingsgebeurtenissen

Deze query geeft een aflopende lijst weer van de hoeveelheid gebeurtenissen die per EventId voor Security-Auditing zijn opgenomen.

SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc

Leden toegevoegd aan beveiligingsgroepen

Wie is in de afgelopen dag toegevoegd aan een groep met beveiligingsproblemen?

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution

Gebruik van wachtwoord voor wissen

Vermeld alle accounts die zich hebben aangemeld met behulp van een wachtwoord voor duidelijke tekst gedurende de afgelopen dag.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Mislukte aanmeldingen in Windows

Zoek rapporten van Windows-accounts die zich niet konden aanmelden.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Alle beveiligingsactiviteiten

Beveiligingsactiviteiten gesorteerd op tijd (nieuwste eerst).

SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Beveiligingsactiviteiten op het apparaat

Beveiligingsactiviteiten op een specifiek apparaat gesorteerd op tijd (nieuwste eerst).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Beveiligingsactiviteiten voor beheerder

Beveiligingsactiviteiten op een specifiek apparaat voor de beheerder gesorteerd op tijd (nieuwste eerst).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com"  // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Aanmeldingsactiviteit per apparaat

Telt aanmeldingsactiviteiten per apparaat.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer

Apparaten met meer dan 10 aanmeldingen

Telt aanmeldingsactiviteiten per apparaat met meer dan 10 aanmeldingen.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10

Accounts beëindigde antimalware

Accounts die Microsoft Antimalware hebben beëindigd.

SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account

Apparaten met Antimalware beëindigd

Apparaten die Microsoft Antimalware hebben beëindigd.

SecurityEvent
| where EventID == 4689 
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer

Apparaten waarop hash is uitgevoerd

Apparaten waarop hash.exe meer dan 5 keer is uitgevoerd.

SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5

Procesnamen uitgevoerd

Een lijst met het aantal uitvoeringen per proces.

SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName

Apparaten waarop het beveiligingslogboek is gewist

Apparaten waarop het securtiylogboek is gewist.

SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer

Aanmeldingsactiviteit per account

Aanmeldingsactiviteit per account.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account

Accounts met minder dan 5 keer aanmeldingen

Aanmeldingsactiviteit voor accounts met minder dan 5 aanmeldingen.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5

Externe geregistreerde accounts op apparaten

Externe geregistreerde accounts op een specifiek apparaat.

SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account

Computers met aanmeldingen voor gastaccounts

Computers met aanmeldingen van gastaccounts.

SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer

Leden toegevoegd aan groepen waarvoor beveiliging is ingeschakeld

Leden die zijn toegevoegd aan de beveiligingsgroepen.

SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount

Wijzigingen in domeinbeveiligingsbeleid

Telt gebeurtenissen van domeinbeleid gewijzigd.

SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged

Wijzigingen in systeemcontrolebeleid

Door systeemcontrolebeleid gewijzigde gebeurtenissen per computer.

SecurityEvent
| where EventID == 4719
| summarize count() by Computer

Verdachte uitvoerbare bestanden

Een lijst met verdachte uitvoerbare bestanden.

SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5

Aanmeldingen met wachtwoord voor duidelijke tekst

Aanmeldingen met wachtwoord voor duidelijke tekst per doelaccount.

SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount

Computers met opgeschoonde gebeurtenislogboeken

Computers met opgeschoonde gebeurtenislogboeken.

SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer

Aanmelden bij accounts is mislukt

Aantal mislukte aanmeldingen per doelaccount.

SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount

Vergrendelde accounts

Telt vergrendelde aantallen per doelaccount.

SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount

Wachtwoordpogingen wijzigen of opnieuw instellen

Hiermee worden paswords-pogingen per doelaccount geteld/opnieuw ingesteld.

SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount

Groepen gemaakt of gewijzigd

Groepen die per doelaccount zijn gemaakt of gewijzigd.

SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount

Aanroeppogingen voor externe procedure

Telt pogingen tot aanroepen van externe procedures per computer.

SecurityEvent
| where EventID == 5712
| summarize count() by Computer

Gebruikersaccounts gewijzigd

Telt wijzigingen van gebruikersaccounts per doelaccount.

SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount