Gerenciar o encaminhamento de syslog para o Azure Local

Aplica-se a: Azure Local, versão 23H2

Este artigo descreve como configurar eventos de segurança a serem encaminhados para um sistema SIEM (gerenciamento de eventos e informações de segurança) gerenciado pelo cliente usando o protocolo syslog para o Azure Local, versão 23H2.

Use o encaminhamento syslog para integrar com soluções de monitoramento de segurança e recuperar logs de eventos de segurança relevantes para armazená-los para retenção em sua própria plataforma SIEM. Para obter mais informações sobre recursos de segurança nesta versão, consulte Recursos de segurança para o Azure Local, versão 23H2.

Configurar o encaminhamento syslog

Os agentes de encaminhamento Syslog são implantados em cada host Local do Azure por padrão, prontos para serem configurados. Cada um dos agentes encaminhará eventos de segurança no formato syslog do host para o servidor syslog configurado pelo cliente.

Os agentes de encaminhamento Syslog funcionam independentemente uns dos outros, mas podem ser gerenciados todos juntos em qualquer um dos hosts. Use cmdlets do PowerShell com privilégios administrativos em qualquer host para controlar o comportamento de todos os agentes de encaminhamento.

O encaminhador syslog no Azure Local dá suporte às seguintes configurações:

• Reencaminhamento syslog com TCP, autenticação mútua (cliente e servidor) e encriptação TLS: Nesta configuração, tanto o servidor syslog como o cliente syslog verificam a identidade um do outro através de certificados. As mensagens são enviadas através de um canal criptografado TLS. Para obter mais informações, consulte Encaminhamento Syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS.

• Reencaminhamento syslog com TCP, autenticação de servidor e encriptação TLS: Nesta configuração, o cliente syslog verifica a identidade do servidor syslog através de um certificado. As mensagens são enviadas através de um canal criptografado TLS. Para obter mais informações, consulte Encaminhamento Syslog com TCP, autenticação de servidor e criptografia TLS.

• Encaminhamento syslog com TCP e sem criptografia: nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por TCP. Para obter mais informações, consulte Encaminhamento Syslog com TCP e sem criptografia.

• Syslog com UDP e sem criptografia: Nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por UDP. Para obter mais informações, consulte Encaminhamento Syslog com UDP e sem criptografia.

  Importante

  Para proteger contra ataques man-in-the-middle e escutas de mensagens, a Microsoft recomenda vivamente que utilize TCP com autenticação e encriptação em ambientes de produção. A versão de criptografia TLS depende do handshake entre os pontos de extremidade. Ambos, TLS 1.2 e TLS 1.3, são suportados por padrão.

Cmdlets para configurar o encaminhamento syslog

A configuração do encaminhador syslog requer acesso ao host físico usando uma conta de administrador de domínio. Um conjunto de cmdlets do PowerShell foi adicionado a todos os hosts locais do Azure para controlar o comportamento do encaminhador syslog.

O Set-AzSSyslogForwarder cmdlet é usado para definir a configuração do encaminhador syslog para todos os hosts. Se bem-sucedida, uma instância do plano de ação será iniciada para configurar os agentes do encaminhador syslog em todos os hosts. O ID da instância do plano de ação será retornado.

Use o cmdlet a seguir para passar as informações do servidor syslog para o encaminhador e configurar o protocolo de transporte, a criptografia, a autenticação e o certificado opcional usado entre o cliente e o servidor:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parâmetros do cmdlet

A tabela a seguir fornece parâmetros para o Set-AzSSyslogForwarder cmdlet:

Parâmetro	Description	Type	Necessário
ServerName	FQDN ou endereço IP do servidor syslog.	Cadeia (de carateres)	Sim
Porta do servidor	Número da porta em que o servidor syslog está escutando.	UInt16	Sim
NoEncriptação	Força o cliente a enviar mensagens syslog em texto não criptografado.	Sinalizador	Não
SkipServerCertificateCheck	Ignore a validação do certificado fornecido pelo servidor syslog durante o handshake TLS inicial.	Sinalizador	Não
SkipServerCNCheck	Ignore a validação do valor Common Name do certificado fornecido pelo servidor syslog durante o handshake TLS inicial.	Sinalizador	Não
UseUDP	Use syslog com UDP como protocolo de transporte.	Sinalizador	Não
ClientCertificateImpressão digital	Impressão digital do certificado do cliente usado para se comunicar com o servidor syslog.	String	Não
OutputSeverity	Nível de registro de saída. Os valores são Default ou Verbose. O padrão inclui níveis de gravidade: aviso, crítico ou erro. Detalhado inclui todos os níveis de gravidade: detalhado, informativo, de aviso, crítico ou de erro.	String	Não
Remover	Remova a configuração atual do encaminhador syslog e pare o encaminhador syslog.	Sinalizador	Não

Reencaminhamento Syslog com TCP, autenticação mútua (cliente e servidor) e encriptação TLS

Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog sobre TCP com criptografia TLS. Durante o handshake inicial, o cliente verifica se o servidor fornece um certificado válido e confiável. O cliente também fornece um certificado ao servidor como prova de sua identidade.

Essa configuração é a mais segura, pois fornece validação completa da identidade do cliente e do servidor e envia mensagens por um canal criptografado.

Importante

A Microsoft recomenda que você use essa configuração para ambientes de produção.

Para configurar o encaminhador syslog com TCP, autenticação mútua e criptografia TLS, configure o servidor e forneça certificado ao cliente para autenticação no servidor.

Execute o seguinte cmdlet em um host físico:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Importante

O certificado do cliente deve conter uma chave privada. Se o certificado do cliente for assinado usando um certificado raiz autoassinado, você também deverá importar o certificado raiz.

Reencaminhamento Syslog com TCP, autenticação de servidor e encriptação TLS

Nessa configuração, o encaminhador syslog no Azure Local encaminha as mensagens para o servidor syslog sobre TCP com criptografia TLS. Durante o handshake inicial, o cliente também verifica se o servidor fornece um certificado válido e confiável.

Essa configuração impede que o cliente envie mensagens para destinos não confiáveis. TCP usando autenticação e criptografia é a configuração padrão e representa o nível mínimo de segurança que a Microsoft recomenda para um ambiente de produção.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Se você quiser testar a integração do seu servidor syslog com o encaminhador syslog local do Azure usando um certificado autoassinado ou não confiável, use esses sinalizadores para ignorar a validação do servidor feita pelo cliente durante o handshake inicial.

1. Ignore a validação do valor Common Name no certificado do servidor. Use esse sinalizador se você fornecer um endereço IP para seu servidor syslog.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Ignore a validação do certificado do servidor.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Importante

   A Microsoft recomenda que você não use o -SkipServerCertificateCheck sinalizador em ambientes de produção.

Reencaminhamento Syslog com TCP e sem encriptação

Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog via TCP sem criptografia. O cliente não verifica a identidade do servidor, nem fornece sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Importante

A Microsoft recomenda que você não use essa configuração em ambientes de produção.

Reencaminhamento Syslog com UDP e sem encriptação

Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog sobre UDP, sem criptografia. O cliente não verifica a identidade do servidor, nem fornece sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Embora o UDP sem criptografia seja o mais fácil de configurar, ele não fornece nenhuma proteção contra ataques man-in-the-middle ou espionagem de mensagens.

Importante

A Microsoft recomenda que você não use essa configuração em ambientes de produção.

Habilitar o encaminhamento syslog

Execute o seguinte cmdlet para habilitar o encaminhamento syslog:

Enable-AzSSyslogForwarder [-Force]

O encaminhador Syslog será ativado com a configuração armazenada fornecida pela última chamada bem-sucedida Set-AzSSyslogForwarder . O cmdlet falhará se nenhuma configuração tiver sido fornecida usando Set-AzSSyslogForwardero .

Desativar o encaminhamento syslog

Execute o seguinte cmdlet para desabilitar o encaminhamento syslog:

Disable-AzSSyslogForwarder [-Force] 

Parâmetro para Enable-AzSSyslogForwarder e Disable-AzSSyslogForwarder cmdlets:

Parâmetro	Description	Type	Necessário
Force	Se especificado, um plano de ação sempre será acionado, mesmo que o estado de destino seja o mesmo atual. Isso pode ser útil para redefinir alterações fora da banda.	Sinalizador	Não

Verificar a configuração do syslog

Depois de conectar com êxito o cliente syslog ao servidor syslog, você começará a receber notificações de eventos. Se você não vir notificações, verifique a configuração do encaminhador syslog do cluster executando o seguinte cmdlet:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Cada host tem seu próprio agente de encaminhador syslog que usa uma cópia local da configuração do cluster. Espera-se que eles sejam sempre os mesmos que a configuração do cluster. Você pode verificar a configuração atual em cada host usando o seguinte cmdlet:

Get-AzSSyslogForwarder -PerNode 

Você também pode usar o seguinte cmdlet para verificar a configuração no host ao qual está conectado:

Get-AzSSyslogForwarder -Local

Parâmetros do cmdlet para o Get-AzSSyslogForwarder cmdlet:

Parâmetro	Description	Type	Necessário
Local	Mostrar a configuração usada atualmente no host atual.	Sinalizador	Não
PerNode	Mostrar a configuração usada atualmente em cada host.	Sinalizador	Não
Cluster	Mostrar a configuração global atual no Azure Local. Este é o comportamento padrão se nenhum parâmetro for fornecido.	Sinalizador	Não

Remover o encaminhamento syslog

Execute o seguinte comando para remover a configuração do encaminhador syslog e parar o encaminhador syslog:

Set-AzSSyslogForwarder -Remove 

Esquema de mensagens e referência de log de eventos

O material de referência a seguir documenta o esquema de mensagens syslog e as definições de eventos.

Esquema de mensagem Syslog

O encaminhador syslog da infraestrutura local do Azure envia mensagens formatadas seguindo o protocolo syslog BSD definido em RFC3164. O CEF também é usado para formatar a carga útil da mensagem syslog.

Cada mensagem syslog é estruturada com base neste esquema: Prioridade (PRI) | Horário | Anfitrião | Carga útil do MIE |

A parte PRI contém dois valores: facilidade e gravidade. Ambos dependem do tipo de mensagem, como o Evento do Windows, etc.

Esquema/definições de carga útil de formato de evento comum

A carga útil do formato CEF (Common Event Format) baseia-se na seguinte estrutura. O mapeamento para cada campo varia dependendo do tipo de mensagem, como Evento do Windows, etc.

MIE: |Versão | Fornecedor de dispositivos | Produto do dispositivo | Versão do dispositivo | ID da assinatura | Nome | Gravidade | Extensões |

• Versão: 0.0
• Fornecedor do dispositivo: Microsoft
• Produto do dispositivo: Microsoft Azure Local
• Versão do dispositivo: 1.0

Exemplos e mapeamento de eventos do Windows

Todos os eventos do Windows usam o valor 10 do recurso PRI.

• ID da assinatura: ProviderName:EventID
• Nome: TaskName
• Gravidade: Nível. Para obter detalhes, consulte a tabela de gravidade a seguir.
• Extensão: Nome da extensão personalizada. Para obter detalhes, consulte a tabela a seguir.

Severidade dos eventos do Windows

Valor de gravidade do PRI	Valor de gravidade do MIE	Nível de evento do Windows	Valor MasLevel (em extensão)
7	0	Não definido	Valor: 0. Indica logs em todos os níveis.
2	10	Crítico	Valor: 1. Indica logs para um alerta crítico.
3	8	Erro	Valor: 2. Indica logs para um erro.
4	5	Aviso	Valor: 3. Indica logs para um aviso.
6	2	Informação	Valor: 4. Indica logs para uma mensagem informativa.
7	0	Verboso	Valor: 5. Indica logs para uma mensagem detalhada.

Extensões personalizadas e eventos do Windows no Azure Local

Nome da extensão personalizada	Evento do Windows
MasChannel	Sistema
MasComputer [en]	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescrição	As configurações de Diretiva de Grupo para o usuário foram processadas com êxito. Não foram detetadas alterações desde o último processamento bem-sucedido da Diretiva de Grupo.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasPalavras-chave	0x8000000000000000
MasKeywordName	Sucesso da auditoria
MasLevel	4
MasOpcode	1
MasOpcodeName	informação
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Criação de Processos
MasUserData	KB4093112!! 5112!! Instalado!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersão	0

Acontecimentos diversos

Eventos diversos que são encaminhados. Esses eventos não podem ser personalizados.

Tipo de evento	Consulta de eventos
Eventos de autenticação Wireless Lan 802.1x com endereço MAC Peer	query="Segurança!*[System[(EventID=5632)]]"
Novo serviço (4697)	query="Segurança!*[System[(EventID=4697)]]"
Reconexão da sessão TS (4778), desconexão da sessão TS (4779)	query="Segurança!*[System[(EventID=4778 ou EventID=4779)]]"
Acesso a objetos de compartilhamento de rede sem compartilhamentos IPC$ e Netlogon	query="Segurança![System[(EventID=5140)] e EventData[Data[@Name='ShareName']!='\\IPC$'] e EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Mudança de Hora do Sistema (4616)	query="Segurança!*[System[(EventID=4616)]]"
Logons locais sem eventos de rede ou serviço	query="Security!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']!='3'] e EventData[Data[@Name='LogonType']!='5']]"
Eventos limpos do Log de Segurança (1102), Desligamento do Serviço EventLog (1100)	query="Segurança!*[System[(EventID=1102 ou EventID=1100)]]"
Logoff iniciado pelo usuário	query="Segurança!*[System[(EventID=4647)]]"
Logoff do usuário para todas as sessões de logon que não são da rede	query="Security!*[System[(EventID=4634)] e EventData[Data[@Name='LogonType'] != '3']]"
Eventos de logon do serviço se a conta de usuário não for LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']='5'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
Criação de compartilhamento de rede (5142), exclusão de compartilhamento de rede (5144)	query="Segurança!*[System[(EventID=5142 ou EventID=5144)]]"
Criação de processos (4688)	query="Segurança!*[System[EventID=4688]]"
Eventos do serviço de log de eventos específicos do canal de segurança	query="Segurança!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Privilégios especiais (acesso equivalente a administrador) atribuídos ao novo logon, excluindo LocalSystem	query="Security!*[System[(EventID=4672)] e EventData[Data[1] != 'S-1-5-18']]"
Novo utilizador adicionado ao grupo de segurança local, global ou universal	query="Segurança!*[System[(EventID=4732 ou EventID=4728 ou EventID=4756)]]"
Usuário removido do grupo Administradores local	query="Security!*[System[(EventID=4733)] e EventData[Data[@Name='TargetUserName']='Administrators']]"
Serviços de Certificados recebeu solicitação de certificado (4886), Aprovado e Certificado emitido (4887), Solicitação negada (4888)	query="Segurança!*[System[(EventID=4886 ou EventID=4887 ou EventID=4888)]]"
Nova conta de usuário criada(4720), conta de usuário habilitada (4722), conta de usuário desabilitada (4725), conta de usuário excluída (4726)	query="Segurança!*[System[(EventID=4720 ou EventID=4722 ou EventID=4725 ou EventID=4726)]]"
Eventos antigos antimalware, mas apenas detetar eventos (reduz o ruído)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] e (EventID >= 1116 e EventID <= 1119)]]"
Inicialização do sistema (12 - inclui OS/SP/Version) e desligamento	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] e (EventID=12 ou EventID=13)]]"
Instalação do serviço (7000), falha no início do serviço (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] e (EventID = 7000 ou EventID=7045)]]"
Desligamento iniciar solicitações, com usuário, processo e motivo (se fornecido)	query="System!*[System[Provider[@Name='USER32'] e (EventID=1074)]]"
Eventos do serviço de log de eventos	query="Sistema!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Outros eventos limpos de log (104)	query="Sistema!*[Sistema[(EventID=104)]]"
Eventos de proteção EMET/Exploit	query="Aplicação!*[System[Provider[@Name='EMET']]]"
Eventos WER apenas para falhas de aplicativos	query="Application!*[System[Provider[@Name='Relatório de erros do Windows']] e EventData[Data[3]='APPCRASH']]"
Usuário fazendo logon com perfil temporário (1511), não é possível criar perfil, usando perfil temporário (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] e (EventID=1511 ou EventID=1518)]]"
Eventos de travamento/travamento do aplicativo, semelhantes ao WER/1001. Estes incluem o caminho completo para falha EXE/Module.	query="Application!*[System[Provider[@Name='Application Error'] e (EventID=1000)] ou System[Provider[@Name='Application Hang'] e (EventID=1002)]]"
Tarefa do agendador de tarefas registrada (106), registro de tarefa excluída (141), tarefa excluída (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] e (EventID=106 ou EventID=141 ou EventID=142)]]"
Execução do aplicativo empacotado (interface do usuário moderna) do AppLocker	query="Microsoft-Windows-AppLocker/Execução de aplicativos empacotados!*"
Instalação do aplicativo AppLocker empacotado (Modern UI)	query="Microsoft-Windows-AppLocker/Implantação de aplicativos empacotados!*"
Registrar tentativa de conexão TS ao servidor remoto	query="Microsoft-Windows-TerminalServices-RDPClient/Operacional!*[Sistema[(EventID=1024)]]"
Obtém todos os eventos de Verificação do Titular do Cartão Inteligente (CHV) (sucesso e falha) executados no host.	query="Microsoft-Windows-SmartCard-Auditoria/Autenticação!*"
Obtém toda a conexão UNC/unidade mapeada bem-sucedida	query="Microsoft-Windows-SMBClient/Operacional!*[System[(EventID=30622 ou EventID=30624)]]"
Provedor de eventos SysMon moderno	query="Microsoft-Windows-Sysmon/Operacional!*"
Eventos de deteção do provedor de eventos moderno do Windows Defender (1006-1009) e (1116-1119); plus (5001,5010,5012) req'd por clientes	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 e EventID <= 1009) ou (EventID >= 1116 e EventID <= 1119) ou (EventID = 5001 ou EventID = 5010 ou EventID = 5012) )]]"
Eventos de Integridade do Código	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] e (EventID=3076 ou EventID=3077)]]"
Eventos de parada/inicialização da autoridade de certificação Serviço da autoridade de certificação interrompido (4880), Serviço da autoridade de certificação iniciado (4881), linha(s) do banco de dados da autoridade de certificação excluída (4896), modelo da autoridade de certificação carregado (4898)	query="Segurança!*[System[(EventID=4880 ou EventID = 4881 ou EventID = 4896 ou EventID = 4898)]]"
Eventos RRAS – gerados apenas no servidor IAS da Microsoft	query="Segurança!*[System[( (EventID >= 6272 e EventID <= 6280) )]]"
Encerramento do processo (4689)	query="Segurança!*[System[(EventID = 4689)]]"
Eventos modificados do Registo para Operações: Novo Valor de Registo criado (%%1904), Valor de Registo Existente modificado (%%1905), Valor de Registo Eliminado (%%1906)	query="Security!*[System[(EventID=4657)] e (EventData[Data[@Name='OperationType'] = '%%1904'] ou EventData[Data[@Name='OperationType'] = '%%1905'] ou EventData[Data[@Name='OperationType'] = '%%1906'])]"
Pedido feito para autenticar na rede sem fio (incluindo Peer MAC (5632))	query="Segurança!*[System[(EventID=5632)]]"
Um novo dispositivo externo foi reconhecido pelo sistema(6416)	query="Segurança!*[System[(EventID=6416)]]"
Eventos de autenticação RADIUS Endereço IP atribuído pelo usuário (20274), Usuário autenticado com êxito (20250), Usuário desconectado (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] e (EventID=20274 ou EventID=20250 ou EventID=20275)]]"
Eventos CAPI Build Chain (11), Private Key acessado (70), objeto X509 (90)	query="Microsoft-Windows-CAPI2/Operacional!*[System[(EventID=11 ou EventID=70 ou EventID=90)]]"
Grupos atribuídos a novos logins (exceto contas incorporadas bem conhecidas)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
Eventos do cliente DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] e EventData[Data[@Name='QueryOptions'] != '140737488355328'] e EventData[Data[@Name='QueryResults']='']]"
Detetar drivers de modo de usuário carregados - para deteção potencial de BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operacional!*[System[(EventID=2004)]]"
Detalhes de execução do pipeline do PowerShell herdado (800)	query="Windows PowerShell!*[Sistema[(EventID=800)]]"
Defender interrompeu eventos	query="System!*[System[(EventID=7036)] e EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] e EventData[Data[@Name='param2']='stopped']]"
Eventos de Gerenciamento do BitLocker	query="Gerenciamento Microsoft-Windows-BitLocker/BitLocker!*"

Próximos passos

Saiba mais sobre:

• Configurações de linha de base de segurança para o Azure Local.
• Controle de Aplicativo do Windows Defender para Azure Local.
• BitLocker para Azure Local.