Zarządzanie przekazywaniem dziennika systemowego dla usługi Azure Local

Dotyczy: Azure Local, wersja 23H2

W tym artykule opisano sposób konfigurowania zdarzeń zabezpieczeń, które mają być przekazywane do systemu zarządzania informacjami i zdarzeniami zabezpieczeń przez klienta (SIEM) przy użyciu protokołu syslog dla usługi Azure Local w wersji 23H2.

Przekazywanie dziennika systemowego umożliwia integrację z rozwiązaniami do monitorowania zabezpieczeń i pobieranie odpowiednich dzienników zdarzeń zabezpieczeń w celu przechowywania ich na własnej platformie SIEM. Aby uzyskać więcej informacji na temat funkcji zabezpieczeń w tej wersji, zobacz Funkcje zabezpieczeń dla platformy Azure Local w wersji 23H2.

Konfigurowanie przekazywania dziennika systemowego

Agenci przekazujący dziennik systemowy są domyślnie wdrażani na każdym hoście lokalnym platformy Azure gotowym do skonfigurowania. Każdy z agentów będzie przekazywać zdarzenia zabezpieczeń w formacie dziennika systemowego z hosta do serwera syslog skonfigurowanego przez klienta.

Agenci przekazujący dziennik systemowy działają niezależnie od siebie, ale mogą być zarządzani razem na jednym z hostów. Użyj poleceń cmdlet programu PowerShell z uprawnieniami administracyjnymi na dowolnym hoście, aby kontrolować zachowanie wszystkich agentów usługi przesyłania dalej.

Usługa przesyłania dalej dziennika systemowego w usłudze Azure Local obsługuje następujące konfiguracje:

• Przekazywanie dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania (klienta i serwera) i szyfrowania TLS: w tej konfiguracji zarówno serwer syslog, jak i klient syslog weryfikują tożsamość siebie za pośrednictwem certyfikatów. Komunikaty są wysyłane za pośrednictwem szyfrowanego kanału TLS. Aby uzyskać więcej informacji, zobacz Przekazywanie usługi Syslog przy użyciu protokołu TCP, wzajemnego uwierzytelniania (klienta i serwera) i szyfrowania TLS.

• Przekazywanie dziennika systemowego przy użyciu protokołu TCP, uwierzytelniania serwera i szyfrowania TLS: w tej konfiguracji klient dziennika systemowego weryfikuje tożsamość serwera syslog za pośrednictwem certyfikatu. Komunikaty są wysyłane za pośrednictwem szyfrowanego kanału TLS. Aby uzyskać więcej informacji, zobacz Przekazywanie dziennika systemowego przy użyciu protokołu TCP, uwierzytelniania serwera i szyfrowania TLS.

• Przekazywanie dziennika systemowego przy użyciu protokołu TCP i bez szyfrowania: w tej konfiguracji tożsamości klienta dziennika systemu i serwera syslog nie są weryfikowane. Komunikaty są wysyłane w postaci zwykłego tekstu za pośrednictwem protokołu TCP. Aby uzyskać więcej informacji, zobacz Przekazywanie dziennika systemowego przy użyciu protokołu TCP i bez szyfrowania.

• Dziennik systemowy z protokołem UDP i bez szyfrowania: w tej konfiguracji tożsamości klienta dziennika systemu i serwera syslog nie są weryfikowane. Komunikaty są wysyłane w postaci zwykłego tekstu za pośrednictwem protokołu UDP. Aby uzyskać więcej informacji, zobacz Przekazywanie usługi Syslog przy użyciu protokołu UDP i brak szyfrowania.

  Ważne

  Aby chronić przed atakami typu man-in-the-middle i podsłuchiwaniem komunikatów, firma Microsoft zdecydowanie zaleca używanie protokołu TCP z uwierzytelnianiem i szyfrowaniem w środowiskach produkcyjnych. Wersja szyfrowania TLS zależy od uzgadniania między punktami końcowymi. Protokoły TLS 1.2 i TLS 1.3 są domyślnie obsługiwane.

Polecenia cmdlet do konfigurowania przekazywania dziennika systemowego

Konfigurowanie usługi przesyłania dalej dziennika systemowego wymaga dostępu do hosta fizycznego przy użyciu konta administratora domeny. Zestaw poleceń cmdlet programu PowerShell został dodany do wszystkich hostów lokalnych platformy Azure w celu kontrolowania zachowania usługi przesyłania dalej dziennika systemowego.

Polecenie Set-AzSSyslogForwarder cmdlet służy do ustawiania konfiguracji usługi przesyłania dalej dziennika systemowego dla wszystkich hostów. W przypadku powodzenia wystąpienie planu działania zostanie uruchomione w celu skonfigurowania agentów usługi przesyłania dalej dziennika systemowego na wszystkich hostach. Zostanie zwrócony identyfikator wystąpienia planu działania.

Użyj następującego polecenia cmdlet, aby przekazać informacje o serwerze syslog do usługi przesyłania dalej i skonfigurować protokół transportu, szyfrowanie, uwierzytelnianie i opcjonalny certyfikat używany między klientem a serwerem:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parametry polecenia cmdlet

Poniższa tabela zawiera parametry polecenia Set-AzSSyslogForwarder cmdlet:

Parametr	Opis	Type	Wymagania
ServerName	Nazwa FQDN lub adres IP serwera syslog.	String	Tak
ServerPort	Numer portu, na który nasłuchuje serwer syslog.	UInt16	Tak
NoEncryption	Wymuś wysłanie komunikatów dziennika systemowego przez klienta w postaci zwykłego tekstu.	Flaga	Nie.
SkipServerCertificateCheck	Pomiń walidację certyfikatu dostarczonego przez serwer syslog podczas początkowego uzgadniania protokołu TLS.	Flaga	Nie.
SkipServerCNCheck	Pomiń walidację wartości nazwy pospolitej certyfikatu dostarczonego przez serwer syslog podczas początkowego uzgadniania protokołu TLS.	Flaga	Nie.
UseUDP	Użyj dziennika systemowego z protokołem UDP jako protokołem transportu.	Flaga	Nie.
ClientCertificateThumbprint	Odcisk palca certyfikatu klienta używanego do komunikowania się z serwerem syslog.	String	Nie
Niezależnie od danych wyjściowych	Poziom rejestrowania danych wyjściowych. Wartości są wartościami domyślnymi lub pełnymi. Ustawienie domyślne obejmuje poziomy ważności: ostrzeżenie, krytyczne lub błąd. Pełne zawiera wszystkie poziomy ważności: pełne, informacyjne, ostrzegawcze, krytyczne lub błędy.	String	Nie
Usuń	Usuń bieżącą konfigurację usługi przesyłania dalej dziennika syslog i zatrzymaj usługę przesyłania dalej syslog.	Flaga	Nie.

Przekazywanie dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania (klienta i serwera) i szyfrowania TLS

W tej konfiguracji klient dziennika systemu w usłudze Azure Local przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu TCP przy użyciu szyfrowania TLS. Podczas początkowego uzgadniania klient sprawdza, czy serwer zapewnia prawidłowy, zaufany certyfikat. Klient udostępnia również certyfikat serwerowi jako dowód tożsamości.

Ta konfiguracja jest najbezpieczniejsza, ponieważ zapewnia pełną walidację tożsamości zarówno klienta, jak i serwera, i wysyła komunikaty za pośrednictwem zaszyfrowanego kanału.

Ważne

Firma Microsoft zaleca użycie tej konfiguracji dla środowisk produkcyjnych.

Aby skonfigurować usługę przesyłania dalej dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania i szyfrowania TLS, skonfiguruj serwer i przekaż klientowi certyfikat do uwierzytelniania na serwerze.

Uruchom następujące polecenie cmdlet względem hosta fizycznego:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Ważne

Certyfikat klienta musi zawierać klucz prywatny. Jeśli certyfikat klienta jest podpisany przy użyciu certyfikatu głównego z podpisem własnym, należy również zaimportować certyfikat główny.

Przekazywanie dziennika systemowego przy użyciu protokołu TCP, uwierzytelniania serwera i szyfrowania TLS

W tej konfiguracji usługa przesyłania dalej dziennika systemowego na platformie Azure lokalnie przekazuje komunikaty do serwera syslog za pośrednictwem protokołu TCP przy użyciu szyfrowania TLS. Podczas początkowego uzgadniania klient sprawdza również, czy serwer udostępnia prawidłowy, zaufany certyfikat.

Ta konfiguracja uniemożliwia klientowi wysyłanie komunikatów do niezaufanych miejsc docelowych. Protokół TCP przy użyciu uwierzytelniania i szyfrowania jest konfiguracją domyślną i reprezentuje minimalny poziom zabezpieczeń zalecany przez firmę Microsoft dla środowiska produkcyjnego.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Jeśli chcesz przetestować integrację serwera syslog z usługą przesyłania dalej dzienników lokalnych platformy Azure przy użyciu certyfikatu z podpisem własnym lub niezaufanym, użyj tych flag, aby pominąć weryfikację serwera wykonywaną przez klienta podczas początkowego uzgadniania.

1. Pomiń walidację wartości nazwy pospolitej w certyfikacie serwera. Użyj tej flagi, jeśli podasz adres IP serwera syslog.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Pomiń walidację certyfikatu serwera.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Ważne

   Firma Microsoft zaleca, aby nie używać flagi -SkipServerCertificateCheck w środowiskach produkcyjnych.

Przekazywanie dziennika systemowego przy użyciu protokołu TCP i bez szyfrowania

W tej konfiguracji klient dziennika systemu w usłudze Azure Local przekazuje komunikaty do serwera syslog za pośrednictwem protokołu TCP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości do serwera w celu weryfikacji.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Ważne

Firma Microsoft zaleca, aby nie używać tej konfiguracji w środowiskach produkcyjnych.

Przekazywanie dziennika systemowego przy użyciu protokołu UDP i bez szyfrowania

W tej konfiguracji klient dziennika systemu w usłudze Azure Local przekazuje komunikaty do serwera syslog za pośrednictwem protokołu UDP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości do serwera w celu weryfikacji.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Protokół UDP bez szyfrowania jest najłatwiejszy do skonfigurowania, ale nie zapewnia żadnej ochrony przed atakami typu man-in-the-middle ani podsłuchiwanie komunikatów.

Ważne

Firma Microsoft zaleca, aby nie używać tej konfiguracji w środowiskach produkcyjnych.

Włączanie przekazywania dziennika systemowego

Uruchom następujące polecenie cmdlet, aby włączyć przekazywanie dziennika systemowego:

Enable-AzSSyslogForwarder [-Force]

Usługa przesyłania dalej dziennika systemowego zostanie włączona z zapisaną konfiguracją dostarczoną przez ostatnie pomyślne Set-AzSSyslogForwarder wywołanie. Polecenie cmdlet zakończy się niepowodzeniem, jeśli nie podano konfiguracji przy użyciu polecenia Set-AzSSyslogForwarder.

Wyłączanie przekazywania dziennika systemowego

Uruchom następujące polecenie cmdlet, aby wyłączyć przekazywanie dziennika systemowego:

Disable-AzSSyslogForwarder [-Force] 

Parametr dla Enable-AzSSyslogForwarder poleceń cmdlet i Disable-AzSSyslogForwarder :

Parametr	Opis	Type	Wymagania
Force	Jeśli zostanie określony, plan działania będzie zawsze wyzwalany, nawet jeśli stan docelowy jest taki sam jak bieżący. Może to być przydatne do zresetowania zmian poza pasmem.	Flaga	Nie.

Weryfikowanie konfiguracji dziennika systemowego

Po pomyślnym połączeniu klienta dziennika systemowego z serwerem syslog rozpoczniesz odbieranie powiadomień o zdarzeniach. Jeśli nie widzisz powiadomień, sprawdź konfigurację usługi przesyłania dalej dziennika systemu klastra, uruchamiając następujące polecenie cmdlet:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Każdy host ma własnego agenta usługi przesyłania dalej dziennika systemowego, który używa lokalnej kopii konfiguracji klastra. Zawsze powinny być takie same jak konfiguracja klastra. Bieżącą konfigurację na każdym hoście można sprawdzić przy użyciu następującego polecenia cmdlet:

Get-AzSSyslogForwarder -PerNode 

Możesz również użyć następującego polecenia cmdlet, aby sprawdzić konfigurację na hoście, z którym masz połączenie:

Get-AzSSyslogForwarder -Local

Parametry polecenia cmdlet dla Get-AzSSyslogForwarder polecenia cmdlet:

Parametr	Opis	Type	Wymagania
Lokalny	Pokaż aktualnie używaną konfigurację na bieżącym hoście.	Flaga	Nie.
PerNode	Pokaż aktualnie używaną konfigurację na każdym hoście.	Flaga	Nie.
Klaster	Pokaż bieżącą konfigurację globalną na platformie Azure Local. Jest to zachowanie domyślne, jeśli nie podano żadnego parametru.	Flaga	Nie.

Usuwanie przekazywania dziennika systemowego

Uruchom następujące polecenie, aby usunąć konfigurację usługi przesyłania dalej dziennika systemowego i zatrzymać usługę przesyłania dalej dziennika systemowego:

Set-AzSSyslogForwarder -Remove 

Schemat komunikatów i dokumentacja dziennika zdarzeń

Poniższe materiały referencyjne zawierają dokumenty dotyczące schematu komunikatów dziennika systemowego i definicji zdarzeń.

Schemat komunikatu dziennika systemowego

Usługa przesyłania dalej dziennika systemowego infrastruktury lokalnej platformy Azure wysyła komunikaty sformatowane zgodnie z protokołem dziennika systemowego BSD zdefiniowanym w RFC3164. Format CEF służy również do formatowania ładunku komunikatu dziennika systemowego.

Każdy komunikat dziennika systemowego jest ustrukturyzowany na podstawie tego schematu: Priorytet (PRI) | Czas | Host | Ładunek CEF |

Część PRI zawiera dwie wartości: obiekt i ważność. Oba elementy zależą od typu komunikatu, takiego jak zdarzenie systemu Windows itp.

Schemat/definicje ładunku w formacie common Event Format

Ładunek formatu common event format (CEF) jest oparty na następującej strukturze. Mapowanie dla każdego pola różni się w zależności od typu komunikatu, takiego jak zdarzenie systemu Windows itp.

CEF: |Wersja | Dostawca urządzenia | Produkt urządzenia | Wersja urządzenia | Identyfikator podpisu | Nazwa | Ważność | Rozszerzenia |

• Wersja: 0.0
• Dostawca urządzenia: Microsoft
• Produkt urządzenia: Microsoft Azure Local
• Wersja urządzenia: 1.0

Mapowanie i przykłady zdarzeń systemu Windows

Wszystkie zdarzenia systemu Windows używają wartości obiektu PRI 10.

• Identyfikator podpisu: ProviderName:EventID
• Nazwa: TaskName
• Ważność: poziom. Aby uzyskać szczegółowe informacje, zobacz poniższą tabelę Ważność.
• Rozszerzenie: niestandardowa nazwa rozszerzenia. Aby uzyskać szczegółowe informacje, zobacz poniższą tabelę.

Ważność zdarzeń systemu Windows

Wartość ważności PRI	Wartość ważności formatu CEF	Poziom zdarzeń systemu Windows	Wartość MasLevel (w rozszerzeniu)
7	0	Niezdefiniowane	Wartość: 0. Wskazuje dzienniki na wszystkich poziomach.
2	10	Krytyczne	Wartość: 1. Wskazuje dzienniki alertu krytycznego.
3	8	Błąd	Wartość: 2. Wskazuje dzienniki błędu.
100	5	Ostrzeżenie	Wartość: 3. Wskazuje dzienniki ostrzeżenia.
6	2	Informacja	Wartość: 4. Wskazuje dzienniki komunikatu informacyjnego.
7	0	Pełne informacje	Wartość: 5. Wskazuje dzienniki pełnej wiadomości.

Rozszerzenia niestandardowe i zdarzenia systemu Windows w środowisku lokalnym platformy Azure

Niestandardowa nazwa rozszerzenia	Zdarzenie systemu Windows
MasChannel	System
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	Ustawienia zasad grupy dla użytkownika zostały pomyślnie przetworzone. Od ostatniego pomyślnego przetwarzania zasad grupy nie wykryto żadnych zmian.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Powodzenie inspekcji
MasLevel	100
MasOpcode	1
MasOpcodeName	informacje o
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Tworzenie procesu
MasUserData	KB4093112!! 5112!! Zainstalowana!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Różne zdarzenia

Różne zdarzenia, które są przekazywane. Tych zdarzeń nie można dostosować.

Typ zdarzenia	Zapytanie o zdarzenie
Zdarzenia uwierzytelniania sieci Bezprzewodowej Lan 802.1x z adresem MAC elementu równorzędnego	query="Security!*[System[(EventID=5632)]"
Nowa usługa (4697)	query="Security!*[System[(EventID=4697)]"
Ponowne połączenie sesji TS (4778), rozłączenie sesji TS (4779)	query="Security!*[System[(EventID=4778 lub EventID=4779)]"
Dostęp do obiektów udziału sieciowego bez udziałów IPC$ i Netlogon	query="Security![System[(EventID=5140)] i EventData[Data[@Name='ShareName']!='\\IPC$'] i EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Zmiana czasu systemowego (4616)	query="Security!*[System[(EventID=4616)]"
Logowania lokalne bez zdarzeń sieci lub usługi	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]"
Zdarzenia wyczyszczone w dzienniku zabezpieczeń (1102), zamknięcie usługi EventLog (1100)	query="Security!*[System[(EventID=1102 lub EventID=1100)]"
Wylogowanie zainicjowane przez użytkownika	query="Security!*[System[(EventID=4647)]"
Wylogowywanie użytkownika dla wszystkich sesji logowania nienależących do sieci	query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']"
Zdarzenia logowania usługi, jeśli konto użytkownika nie jest localSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] i EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] i EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']"
Tworzenie udziału sieciowego (5142), usuwanie udziału sieciowego (5144)	query="Security!*[System[(EventID=5142 lub EventID=5144)]"
Tworzenie procesu (4688)	query="Security!*[System[EventID=4688]]"
Zdarzenia usługi dziennika zdarzeń specyficzne dla kanału zabezpieczeń	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]"
Uprawnienia specjalne (dostęp równoważny administratorowi) przypisane do nowego logowania, z wyłączeniem systemu lokalnego	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']"
Nowy użytkownik dodany do lokalnej, globalnej lub uniwersalnej grupy zabezpieczeń	query="Security!*[System[(EventID=4732 lub EventID=4728 lub EventID=4756)]"
Użytkownik usunięty z lokalnej grupy Administratorzy	query="Security!*[System[(EventID=4733)] i EventData[Data[@Name='TargetUserName']='Administrators']]"
Usługi certyfikatów otrzymały żądanie certyfikatu (4886), zatwierdzone i wystawione certyfikaty (4887), żądanie odmowy (4888)	query="Security!*[System[(EventID=4886 lub EventID=4887 lub EventID=4888)]"
Utworzone nowe konto użytkownika (4720), włączone konto użytkownika (4722), wyłączone konto użytkownika (4725), usunięte konto użytkownika (4726)	query="Security!*[System[(EventID=4720 lub EventID=4722 lub EventID=4725 lub EventID=4726)]"
Stare zdarzenia chroniące przed złośliwym oprogramowaniem, ale wykrywają tylko zdarzenia (zmniejsza szum)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] and (EventID = 1116 i EventID ><= 1119)]"
Uruchamianie systemu (12 — obejmuje system operacyjny/sp/wersja) i zamykanie	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]"
Instalacja usługi (7000), niepowodzenie uruchamiania usługi (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 lub EventID=7045)]"
Zamykanie żądań inicjowania z użytkownikiem, procesem i przyczyną (jeśli podano)	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]"
Zdarzenia usługi dziennika zdarzeń	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]"
Inne zdarzenia wyczyszczone w dzienniku (104)	query="System!*[System[(EventID=104)]"
Zdarzenia ochrony EMET/Exploit Protection	query="Application!*[System[Provider[@Name='EMET']]]"
Zdarzenia usługi WER tylko w przypadku awarii aplikacji	query="Application!*[System[Provider[@Name='Raportowanie błędów systemu Windows']] and EventData[Data[3]='APPCRASH']]"
Logowanie użytkownika przy użyciu profilu tymczasowego (1511) nie może utworzyć profilu przy użyciu profilu tymczasowego (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]"
Zdarzenia awarii/zawieszenia aplikacji, podobne do WER/1001. Obejmują one pełną ścieżkę do błędu EXE/Module.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] lub System[Provider[@Name='Application Hang'] and (EventID=1002)]"
Zadanie harmonogramu zadań zarejestrowane (106), rejestracja zadania została usunięta (141), zadanie usunięte (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Dostawca[@Name='Microsoft-Windows-TaskScheduler'] i (EventID=106 lub EventID=141 lub EventID=142 )]]"
Wykonywanie aplikacji spakowanych za pomocą funkcji AppLocker (nowoczesnego interfejsu użytkownika)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Instalacja aplikacji spakowanej za pomocą funkcji AppLocker (nowoczesnego interfejsu użytkownika)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Próba nawiązania połączenia z serwerem zdalnym w dzienniku	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]"
Pobiera wszystkie zdarzenia weryfikacji posiadacza karty inteligentnej (CHV) (powodzenie i niepowodzenie) wykonywane na hoście.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Pobiera wszystkie dyski UNC/mapowane pomyślnie nawiązane połączenie	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 lub EventID=30624)]"
Nowoczesny dostawca zdarzeń SysMon	query="Microsoft-Windows-Sysmon/Operational!*"
Nowoczesne zdarzenia wykrywania dostawcy zdarzeń usługi Windows Defender (1006-1009) i (1116-1119); plus (5001,5010,5012) według klientów	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 i EventID = 1009) lub (EventID <>= 1116 i EventID <= 1119) lub (EventID = 5001 lub EventID = 5010 lub EventID = 5012) )]"
Zdarzenia integralności kodu	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] i (EventID=3076 lub EventID=3077)]]"
Zatrzymanie/uruchamianie zdarzeń urzędu certyfikacji zatrzymane (4880), uruchomiona usługa urzędu certyfikacji (4881), usunięte wiersze bazy danych urzędu certyfikacji (4896), załadowany szablon urzędu certyfikacji (4898)	query="Security!*[System[(EventID=4880 lub EventID = 4881 lub EventID = 4896 lub EventID = 4898)]"
Zdarzenia usługi RRAS — generowane tylko na serwerze IAS firmy Microsoft	query="Security!*[System[( (EventID >= 6272 i EventID <= 6280) )]"
Zakończenie procesu (4689)	query="Security!*[System[(EventID = 4689)]"
Zdarzenia zmodyfikowane rejestru dla operacji: Utworzono nową wartość rejestru (%%1904), zmodyfikowano istniejącą wartość rejestru (%%1905), usunięto wartość rejestru (%%1906)	query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] lub EventData[Data[@Name='OperationType'] = '%%1905'] lub EventData[data[@Name='OperationType'] = '%1906'])]"
Żądanie uwierzytelnienia w sieci bezprzewodowej (w tym peer MAC (5632))	query="Security!*[System[(EventID=5632)]"
Nowe urządzenie zewnętrzne zostało rozpoznane przez system (6416)	query="Security!*[System[(EventID=6416)]"
Zdarzenia uwierzytelniania usługi RADIUS Przypisany adres IP użytkownika (20274), pomyślnie uwierzytelniony użytkownik (20250), rozłączony użytkownik (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 lub EventID=20250 lub EventID=20275)]"
Zdarzenia CAPI Build Chain (11), klucz prywatny dostępny (70), obiekt X509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 lub EventID=70 lub EventID=90)]"
Grupy przypisane do nowego logowania (z wyjątkiem dobrze znanych, wbudowanych kont)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] i EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] i EventData[Data[Data [@Name='TargetUserSid'] != 'S-1-5-18'] i EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']"
Zdarzenia klienta DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] i EventData[Data[@Name='QueryOptions'] != '140737488355328'] i EventData[Data[@Name='QueryResults']=']]"
Wykrywanie załadowanych sterowników trybu użytkownika — w przypadku potencjalnego wykrywania błęduUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]"
Szczegóły wykonywania starszego potoku programu PowerShell (800)	query="Windows PowerShell!*[System[(EventID=800)]"
Usługa Defender zatrzymała zdarzenia	query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Program antywirusowy Microsoft Defender Network Inspection Service'] and EventData[Data[@Name='param2']='stopped']]"
Zdarzenia zarządzania funkcją BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Następne kroki

Dowiedz się więcej na następujące tematy:

• Ustawienia punktu odniesienia zabezpieczeń dla usługi Azure Local.
• Windows Defender Application Control for Azure Local (Kontrola aplikacji usługi Windows Defender dla platformy Azure lokalnie).
• Funkcja BitLocker dla usługi Azure Local.