Gerir o reencaminhamento do syslog para o Azure Stack HCI

Aplica-se a: Azure Stack HCI, versão 23H2

Este artigo descreve como configurar eventos de segurança para serem reencaminhados para um sistema de gestão de eventos e informações de segurança gerida pelo cliente (SIEM) com o protocolo syslog para o Azure Stack HCI, versão 23H2 (pré-visualização).

Utilize o reencaminhamento do syslog para integrar com soluções de monitorização de segurança e obter registos de eventos de segurança relevantes para armazená-los para retenção na sua própria plataforma SIEM. Para obter mais informações sobre as funcionalidades de segurança nesta versão, veja Funcionalidades de segurança do Azure Stack HCI, versão 23H2 (pré-visualização).

Configurar o reencaminhamento do syslog

Os agentes de reencaminhamento do Syslog são implementados em todos os anfitriões do Azure Stack HCI por predefinição, prontos para serem configurados. Cada um dos agentes irá reencaminhar eventos de segurança no formato syslog do anfitrião para o servidor syslog configurado pelo cliente.

Os agentes de reencaminhamento do Syslog funcionam independentemente uns dos outros, mas podem ser geridos em conjunto em qualquer um dos anfitriões. Utilize cmdlets do PowerShell com privilégios administrativos em qualquer anfitrião para controlar o comportamento de todos os agentes reencaminhadores.

O reencaminhador do syslog no Azure Stack HCI suporta as seguintes configurações:

• Reencaminhamento do Syslog com TCP, autenticação mútua (cliente e servidor) e encriptação TLS 1.2: Nesta configuração, tanto o servidor syslog como o cliente syslog verificam a identidade uns dos outros através de certificados. As mensagens são enviadas através de um canal encriptado TLS 1.2. Para obter mais informações, veja Reencaminhamento do Syslog com TCP, autenticação mútua (cliente e servidor) e encriptação TLS 1.2.

• Reencaminhamento do Syslog com TCP, autenticação do servidor e encriptação TLS 1.2: Nesta configuração, o cliente syslog verifica a identidade do servidor syslog através de um certificado. As mensagens são enviadas através de um canal encriptado TLS 1.2. Para obter mais informações, veja Reencaminhamento do Syslog com TCP, autenticação do servidor e encriptação TLS 1.2.

• Reencaminhamento do Syslog com TCP e sem encriptação: Nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto claro através de TCP. Para obter mais informações, veja Reencaminhamento do Syslog com TCP e sem encriptação.

• Syslog com UDP e sem encriptação: Nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto claro através do UDP. Para obter mais informações, veja Reencaminhamento do Syslog com UDP e sem encriptação.

  Importante

  Para proteger contra ataques man-in-the-middle e escutas de mensagens, a Microsoft recomenda vivamente que utilize o TCP com autenticação e encriptação em ambientes de produção.

Cmdlets para configurar o reencaminhamento do syslog

A configuração do reencaminhador do syslog requer acesso ao anfitrião físico com uma conta de administrador de domínio. Foi adicionado um conjunto de cmdlets do PowerShell a todos os anfitriões do Azure Stack HCI para controlar o comportamento do reencaminhador do syslog.

O Set-AzSSyslogForwarder cmdlet é utilizado para definir a configuração do reencaminhador syslog para todos os anfitriões. Se for bem-sucedida, será iniciada uma instância do plano de ação para configurar os agentes do reencaminhador do syslog em todos os anfitriões. O ID da instância do plano de ação será devolvido.

Utilize o seguinte cmdlet para transmitir as informações do servidor syslog ao reencaminhador e para configurar o protocolo de transporte, a encriptação, a autenticação e o certificado opcional utilizado entre o cliente e o servidor:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parâmetros do cmdlet

A tabela seguinte fornece parâmetros para o Set-AzSSyslogForwarder cmdlet:

Parâmetro	Descrição	Tipo	Necessário
ServerName	FQDN ou endereço IP do servidor syslog.	String	Yes
ServerPort	Número da porta em que o servidor syslog está a escutar.	UInt16	Yes
NoEncryption	Forçar o cliente a enviar mensagens syslog em texto claro.	Sinalizador	No
SkipServerCertificateCheck	Ignore a validação do certificado fornecido pelo servidor syslog durante o handshake TLS inicial.	Sinalizador	No
SkipServerCNCheck	Ignore a validação do valor Nome Comum do certificado fornecido pelo servidor syslog durante o handshake TLS inicial.	Sinalizador	No
UseUDP	Utilize o syslog com uDP como protocolo de transporte.	Sinalizador	No
ClientCertificateThumbprint	Thumbprint do certificado de cliente utilizado para comunicar com o servidor syslog.	String	No
OutputSeverity	Nível de registo de saída. Os valores são Predefinidos ou Verbosos. A predefinição inclui níveis de gravidade: aviso, crítico ou erro. Verboso inclui todos os níveis de gravidade: verboso, informativo, aviso, crítico ou erro.	String	No
Remover	Remova a configuração atual do reencaminhador do syslog e pare o reencaminhador do syslog.	Sinalizador	No

Reencaminhamento do Syslog com TCP, autenticação mútua (cliente e servidor) e encriptação TLS 1.2

Nesta configuração, o cliente syslog no Azure Stack HCI reencaminha mensagens para o servidor syslog através de TCP com encriptação TLS 1.2. Durante o handshake inicial, o cliente verifica se o servidor fornece um certificado válido e fidedigno. O cliente também fornece um certificado ao servidor como prova da respetiva identidade.

Esta configuração é a mais segura, pois fornece validação completa da identidade do cliente e do servidor e envia mensagens através de um canal encriptado.

Importante

A Microsoft recomenda que utilize esta configuração para ambientes de produção.

Para configurar o reencaminhador do syslog com tCP, autenticação mútua e encriptação TLS 1.2, configure o servidor e forneça um certificado ao cliente para autenticar no servidor.

Execute o seguinte cmdlet num anfitrião físico:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Importante

O certificado de cliente tem de conter uma chave privada. Se o certificado de cliente estiver assinado com um certificado de raiz autoassinado, também tem de importar o certificado de raiz.

Reencaminhamento do Syslog com TCP, autenticação do servidor e encriptação TLS 1.2

Nesta configuração, o reencaminhador do syslog no Azure Stack HCI reencaminha as mensagens para o servidor syslog através de TCP com encriptação TLS 1.2. Durante o handshake inicial, o cliente também verifica se o servidor fornece um certificado válido e fidedigno.

Esta configuração impede o cliente de enviar mensagens para destinos não fidedignos. O TCP que utiliza a autenticação e a encriptação é a configuração predefinida e representa o nível mínimo de segurança que a Microsoft recomenda para um ambiente de produção.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Se quiser testar a integração do servidor syslog com o reencaminhador de syslog do Azure Stack HCI com um certificado autoassinado ou não fidedigno, utilize estes sinalizadores para ignorar a validação do servidor efetuada pelo cliente durante o handshake inicial.

1. Ignore a validação do valor Nome Comum no certificado de servidor. Utilize este sinalizador se fornecer um endereço IP para o seu servidor syslog.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Ignore a validação do certificado do servidor.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Importante

   A Microsoft recomenda que não utilize o -SkipServerCertificateCheck sinalizador em ambientes de produção.

Reencaminhamento do Syslog com TCP e sem encriptação

Nesta configuração, o cliente syslog no Azure Stack HCI reencaminha mensagens para o servidor syslog através de TCP sem encriptação. O cliente não verifica a identidade do servidor, nem fornece a sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Importante

A Microsoft recomenda que não utilize esta configuração em ambientes de produção.

Reencaminhamento do Syslog com UDP e sem encriptação

Nesta configuração, o cliente syslog no Azure Stack HCI reencaminha mensagens para o servidor syslog através de UDP, sem encriptação. O cliente não verifica a identidade do servidor, nem fornece a sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Embora o UDP sem encriptação seja o mais fácil de configurar, não fornece qualquer proteção contra ataques man-in-the-middle ou escutas de mensagens.

Importante

A Microsoft recomenda que não utilize esta configuração em ambientes de produção.

Ativar o reencaminhamento do syslog

Execute o seguinte cmdlet para ativar o reencaminhamento do syslog:

Enable-AzSSyslogForwarder [-Force]

O reencaminhador do Syslog será ativado com a configuração armazenada fornecida pela última chamada com êxito Set-AzSSyslogForwarder . O cmdlet falhará se não tiver sido fornecida qualquer configuração com Set-AzSSyslogForwarder.

Desativar o reencaminhamento do syslog

Execute o seguinte cmdlet para desativar o reencaminhamento do syslog:

Disable-AzSSyslogForwarder [-Force] 

Parâmetro para Enable-AzSSyslogForwarder e Disable-AzSSyslogForwarder cmdlets:

Parâmetro	Descrição	Tipo	Necessário
Force	Se especificado, será sempre acionado um plano de ação mesmo que o estado de destino seja igual ao atual. Isto pode ser útil para repor alterações fora de banda.	Sinalizador	No

Verificar a configuração do syslog

Depois de ligar com êxito o cliente syslog ao seu servidor syslog, começará a receber notificações de eventos. Se não vir notificações, verifique a configuração do reencaminhador do syslog do cluster ao executar o seguinte cmdlet:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Cada anfitrião tem o seu próprio agente de reencaminhador syslog que utiliza uma cópia local da configuração do cluster. Espera-se que sejam sempre iguais à configuração do cluster. Pode verificar a configuração atual em cada anfitrião com o seguinte cmdlet:

Get-AzSSyslogForwarder -PerNode 

Também pode utilizar o seguinte cmdlet para verificar a configuração no anfitrião ao qual está ligado:

Get-AzSSyslogForwarder -Local

Parâmetros do cmdlet para o Get-AzSSyslogForwarder cmdlet:

Parâmetro	Descrição	Tipo	Necessário
Local	Mostrar a configuração atualmente utilizada no anfitrião atual.	Sinalizador	No
PerNode	Mostrar a configuração atualmente utilizada em cada anfitrião.	Sinalizador	No
Cluster	Mostrar a configuração global atual no Azure Stack HCI. Este é o comportamento predefinido se não for fornecido nenhum parâmetro.	Sinalizador	No

Remover o reencaminhamento do syslog

Execute o seguinte comando para remover a configuração do reencaminhador do syslog e parar o reencaminhador do syslog:

Set-AzSSyslogForwarder -Remove 

Referência do esquema de mensagens e do registo de eventos

Os seguintes documentos materiais de referência syslog message schema and event definitions.

Esquema de mensagens do Syslog

O reencaminhador do syslog da infraestrutura do Azure Stack HCI envia mensagens formatadas após o protocolo Syslog BSD definido em RFC3164. O CEF também é utilizado para formatar o payload da mensagem syslog.

Cada mensagem syslog é estruturada com base neste esquema: Prioridade (PRI) | Hora | Anfitrião | Payload do CEF |

A parte PRI contém dois valores: instalação e gravidade. Ambos dependem do tipo de mensagem, como Evento do Windows, etc.

Esquema/definições de payload do formato de evento comum

O payload do Formato de Evento Comum (CEF) baseia-se na seguinte estrutura. O mapeamento de cada campo varia consoante o tipo de mensagem, como Evento do Windows, etc.

CEF: |Versão | Fornecedor de Dispositivos | Produto do Dispositivo | Versão do Dispositivo | ID da Assinatura | Nome | Gravidade | Extensões |

• Versão: 0.0
• Fornecedor de Dispositivos: Microsoft
• Produto do Dispositivo: Microsoft Azure Stack HCI
• Versão do Dispositivo: 1.0

Exemplos e mapeamento de eventos do Windows

Todos os eventos do Windows utilizam o valor de instalação PRI 10.

• ID de Assinatura: ProviderName:EventID
• Nome: TaskName
• Gravidade: Nível. Para obter detalhes, veja a seguinte tabela Gravidade.
• Extensão: Nome da Extensão Personalizada. Para obter detalhes, consulte a seguinte tabela.

Gravidade dos eventos do Windows

Valor de gravidade pri	Valor de gravidade do CEF	Nível de evento do Windows	Valor masLevel (na extensão)
7	0	Indefinido	Valor: 0. Indica registos em todos os níveis.
2	10	Crítico	Valor: 1. Indica os registos de um alerta crítico.
3	8	Erro	Valor: 2. Indica os registos de um erro.
4	5	Aviso	Valor: 3. Indica os registos de um aviso.
6	2	Informações	Valor: 4. Indica os registos de uma mensagem informativa.
7	0	Verboso	Valor: 5. Indica os registos de uma mensagem verbosa.

Extensões personalizadas e eventos do Windows no Azure Stack HCI

Nome da extensão personalizada	Evento do Windows
MasCanal	Sistema
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	As definições de Política de Grupo para o utilizador foram processadas com êxito. Não foram detetadas alterações desde o último processamento bem-sucedido de Política de Grupo.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
Palavras-chave	0x8000000000000000
MasKeywordName	Auditar Êxito
MasLevel	4
MasOpcode	1
MasOpcodeName	informações
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Criação de Processos
MasUserData	KB4093112!! 5112!! Instalado!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Eventos diversos

Eventos diversos que são reencaminhados. Estes eventos não podem ser personalizados.

Tipo de evento	Consulta de eventos
Eventos de autenticação Wireless Lan 802.1x com endereço MAC peering	query="Security!*[System[(EventID=5632)]]"
Novo serviço (4697)	query="Security!*[System[(EventID=4697)]]"
TS Session reconnect (4778), TS Session disconnect (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]]"
Acesso a objetos de partilha de rede sem partilhas IPC$ e Netlogon	query="Segurança! [System[(EventID=5140)] e EventData[Data[@Name='ShareName']!='\\IPC$'] e EventData[Data[@Name='ShareName']!='\*\NetLogon']]
Alteração da Hora do Sistema (4616)	query="Security!*[System[(EventID=4616)]]"
Inícios de sessão locais sem eventos de rede ou serviço	query="Security!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']!='3'] e EventData[Data[@Name='LogonType']!='5']]"
Eventos limpos do Registo de Segurança (1102), Encerramento do Serviço EventLog (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]]"
Início de sessão iniciado pelo utilizador	query="Security!*[System[(EventID=4647)]]"
Início de sessão do utilizador para todas as sessões de início de sessão não relacionadas com a rede	query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]"
Eventos de início de sessão do serviço se a conta de utilizador não for LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']='5'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]
Criação de Partilha de Rede (5142), Eliminação de Partilha de Rede (5144)	query="Security!*[System[(EventID=5142 or EventID=5144)]]"
Criação de Processos (4688)	query="Security!*[System[EventID=4688]]"
Eventos do serviço de registo de eventos específicos do Canal de segurança	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Privilégios Especiais (Acesso Administração equivalente) atribuídos ao novo início de sessão, excluindo LocalSystem	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]"
Novo utilizador adicionado ao grupo de segurança local, global ou universal	query="Security!*[System[(EventID=4732 or EventID=4728 or EventID=4756)]]"
Utilizador removido do grupo de Administradores local	query="Security!*[System[(EventID=4733)] e EventData[Data[@Name='TargetUserName']='Administrators']]"
Os Serviços de Certificados receberam um pedido de certificado (4886), Aprovado e Certificado emitido (4887), Pedido negado (4888)	query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]"
Nova Conta de Utilizador Criada(4720), Conta de Utilizador Ativada (4722), Conta de Utilizador Desativada (4725), Conta de Utilizador Eliminada (4726)	query="Security!*[System[(EventID=4720 or EventID=4722 ou EventID=4725 ou EventID=4726)]]
Eventos antigos antimalware, mas apenas detetar eventos (reduz o ruído)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] e (EventID >= 1116 e EventID <= 1119)]]
Arranque do sistema (12 - inclui SO/SP/Versão) e encerramento	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] e (EventID=12 ou EventID=13)]]"
Instalação do Serviço (7000), falha no início do serviço (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] e (EventID = 7000 ou EventID=7045)]]"
O encerramento inicia pedidos, com o utilizador, o processo e o motivo (se for fornecido)	query="System!*[System[Provider[@Name='USER32'] e (EventID=1074)]]"
Eventos do serviço de registo de eventos	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Outros eventos limpos do Registo (104)	query="System!*[System[(EventID=104)]]"
Eventos de proteção EMET/Exploit	query="Application!*[System[Provider[@Name='EMET']]]"
Eventos WER apenas para falhas de aplicações	query="Application!*[System[Provider[@Name='Relatório de Erros do Windows']] e EventData[Data[3]='APPCRASH']]"
O utilizador que inicia sessão com o Perfil temporário (1511), não consegue criar perfil com o perfil temporário (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] e (EventID=1511 ou EventID=1518)]]
Eventos de falha/bloqueio de aplicações, semelhantes a WER/1001. Estes incluem o caminho completo para a falha do EXE/Módulo.	query="Application!*[System[Provider[@Name='Application Error'] e (EventID=1000)] ou System[Provider[@Name='Application Hang'] e (EventID=1002)]]"
Task scheduler Task Registered (106), Task Registration Deleted (141), Task Deleted (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] e (EventID=106 ou EventID=141 ou EventID=142 )]]
Execução de aplicações empacotadas (IU Moderna) do AppLocker	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Instalação da aplicação empacotada (IU Moderna) do AppLocker	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Registo de tentativas de ligação TS ao servidor remoto	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Obtém todos os eventos de Verificação de Card-Holder (CHV) do Smart Card (êxito e falha) realizados no anfitrião.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Obtém toda a ligação unc/mapeada com êxito	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 ou EventID=30624)]]"
Fornecedor de eventos SysMon moderno	query="Microsoft-Windows-Sysmon/Operational!*"
Eventos modernos de Deteção do fornecedor de eventos Windows Defender (1006-1009) e (1116-1119); mais (5001.5010.5012) req'd pelos clientes	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 e EventID <= 1009) ou (EventID >= 1116 e EventID <= 1119) ou (EventID = 5001 ou EventID = 5010 ou EventID = 5012) )]"
Eventos de Integridade do Código	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] e (EventID=3076 ou EventID=3077)]]"
Ca stop/Start events CA Service Stop (4880), CA Service Started (4881), CA DB row(s) deleted(4896), CA Template loaded (4898)	query="Security!*[System[(EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898)]"
Eventos RRAS – gerados apenas no servidor IAS da Microsoft	query="Security!*[System[( (EventID >= 6272 and EventID <= 6280) )]"
Terminar Processo (4689)	query="Security!*[System[(EventID = 4689)]]"
Eventos modificados do registo para Operações: Novo Valor do Registo criado (%%1904), Valor do Registo Existente modificado (%%1905), Valor do Registo Eliminado (%%1906)	query="Security!*[System[(EventID=4657)] e (EventData[Data[@Name='OperationType'] = '%%1904'] ou EventData[Data[@Name='OperationType'] = '%%1905'] ou EventData[Data[@Name='OperationType'] = '%%1906'])]"
Pedido efetuado para autenticar na rede sem fios (incluindo mac de elemento da rede (5632))	query="Security!*[System[(EventID=5632)]]"
Um novo dispositivo externo foi reconhecido pelo Sistema(6416)	query="Security!*[System[(EventID=6416)]]"
Eventos de autenticação RADIUS Endereço IP Atribuído pelo Utilizador (20274), Utilizador autenticado com êxito (20250), Utilizador Desligado (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] e (EventID=20274 ou EventID=20250 ou EventID=20275)]]
Cadeia de Compilação de eventos CAPI (11), Chave Privada acedida (70), objeto X509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 ou EventID=70 ou EventID=90)]]"
Grupos atribuídos a novos inícios de sessão (exceto contas bem conhecidas e incorporadas)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] e EventData[Dados[@Name='TargetUserSid'] != 'S-1-5-18'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]
Eventos de cliente DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] e EventData[Data[@Name='QueryOptions'] != '140737488355328'] e EventData[Data[@Name='QueryResults']=']]"
Detetar controladores de User-Mode carregados para potenciais deteções de BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Detalhes de execução do pipeline do PowerShell legado (800)	query="Windows PowerShell!*[Sistema[(EventID=800)]]"
Eventos parados do Defender	query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender Antivírus Network Inspection Service'] e EventData[Data[@Name='param2']='stop']]"
Eventos de Gestão do BitLocker	query="Microsoft-Windows-BitLocker/Gestão bitLocker!*"

Passos seguintes

Saiba mais sobre:

• Definições de linha de base de segurança para o Azure Stack HCI.
• Windows Defender Controlo de Aplicações para o Azure Stack HCI.
• BitLocker para o Azure Stack HCI.