Udostępnij za pośrednictwem

Zapytania dotyczące tabeli SecurityEvent

  • Artykuł

Aby uzyskać informacje na temat korzystania z tych zapytań w witrynie Azure Portal, zobacz Samouczek usługi Log Analytics. Aby zapoznać się z interfejsem API REST, zobacz Zapytanie.

Zdarzenia zabezpieczeń najbardziej typowe identyfikatory zdarzeń

To zapytanie wyświetla malejącą listę zdarzeń pozyskanych na identyfikator zdarzenia dla inspekcji zabezpieczeń.

SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc

Członkowie dodani do grup zabezpieczeń

Kto został dodany do grupy z obsługą zabezpieczeń w ciągu ostatniego dnia?

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution

Użycie hasła w postaci zwykłego tekstu

Wyświetl listę wszystkich kont zalogowanych przy użyciu hasła w postaci zwykłego tekstu w ciągu ostatniego dnia.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Nieudane logowania systemu Windows

Znajdź raporty kont systemu Windows, których nie można zalogować.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Wszystkie działania dotyczące zabezpieczeń

Działania zabezpieczeń posortowane według czasu (najnowsza pierwsza).

SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Działania zabezpieczeń na urządzeniu

Działania zabezpieczeń na określonym urządzeniu posortowane według czasu (najnowsza pierwsza).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Działania związane z zabezpieczeniami dla administratora

Działania zabezpieczeń na określonym urządzeniu dla administratora posortowane według czasu (najnowsza pierwsza).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com"  // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Działanie logowania według urządzenia

Zlicza działania logowania na urządzenie.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer

Urządzenia z więcej niż 10 logami

Zlicza działania logowania na urządzenia z więcej niż 10 logowaniami.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10

Konta zakończone oprogramowanie chroniące przed złośliwym kodem

Konta, które zakończyły działanie oprogramowania microsoft chroniącego przed złośliwym kodem.

SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account

Urządzenia z przerwanym oprogramowaniem chroniącym przed złośliwym kodem

Urządzenia, które zakończyły działanie oprogramowania firmy Microsoft chroniącego przed złośliwym kodem.

SecurityEvent
| where EventID == 4689 
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer

Urządzenia, na których wykonano skrót

Urządzenia, na których hash.exe wykonano ponad 5 razy.

SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5

Wykonane nazwy procesów

Wyświetla liczbę wykonań na proces.

SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName

Urządzenia z wyczyszczonego dziennika zabezpieczeń

Urządzenia z wyczyszczonego dziennika z zabezpieczeniami.

SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer

Działanie logowania według konta

Działanie logowania według konta.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account

Konta z mniej niż 5-krotnymi logowaniami

Działanie logowania dla kont z mniej niż 5 logowania.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5

Konta zarejestrowane zdalnie na urządzeniach

Konta zarejestrowane zdalnie na określonym urządzeniu.

SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account

Komputery z logowaniem do konta gościa

Komputery z logowaniami z kont gości.

SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer

Członkowie dodani do grup z włączoną obsługą zabezpieczeń

Członkowie dodani do grup z włączonymi zabezpieczeniami.

SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount

Zmiany zasad zabezpieczeń domeny

Zlicza zdarzenia zmienionych zasad domeny.

SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged

Zmiany zasad inspekcji systemu

Zasady inspekcji systemu zmieniły zdarzenia według komputera.

SecurityEvent
| where EventID == 4719
| summarize count() by Computer

Podejrzane pliki wykonywalne

Wyświetla listę podejrzanych plików wykonywalnych.

SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5

Logowania z hasłem w postaci zwykłego tekstu

Logowania przy użyciu hasła zwykłego tekstu według konta docelowego.

SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount

Komputery z oczyszczonymi dziennikami zdarzeń

Komputery z oczyszczonymi dziennikami zdarzeń.

SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer

Logowanie kont nie powiodło się

Liczba nieudanych logów według konta docelowego.

SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount

Zablokowane konta

Liczba zablokowanych kont według konta docelowego.

SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount

Próby zmiany lub resetowania haseł

Zlicza próby zmiany/resetowania paswords na konto docelowe.

SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount

Grupy utworzone lub zmodyfikowane

Grupy utworzone lub zmodyfikowane na konto docelowe.

SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount

Próby wywołania procedury zdalnej

Zlicza próby wywołania procedury zdalnej na komputer.

SecurityEvent
| where EventID == 5712
| summarize count() by Computer

Zmienione konta użytkowników

Zlicza zmiany konta użytkownika na konto docelowe.

SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount