Gerenciar o encaminhamento de syslog para o Azure Local

Aplica-se a: Azure Local 2311.2 e posterior

Este artigo descreve como configurar eventos de segurança a serem encaminhados para um sistema SIEM (gerenciamento de eventos e informações de segurança) gerenciado pelo cliente usando o protocolo syslog para o Azure Local.

Utilize o encaminhamento syslog para integrar com soluções de monitorização de segurança e obter logs de eventos de segurança relevantes para armazená-los para retenção na sua própria plataforma SIEM. Para obter mais informações sobre recursos de segurança nesta versão, consulte Recursos de segurança para o Azure Local.

Configurar o encaminhamento de syslog

Os agentes de encaminhamento Syslog são implantados em cada host Local do Azure por padrão, prontos para serem configurados. Cada agente encaminha eventos de segurança no formato syslog do host para o servidor syslog configurado pelo cliente.

Os agentes de encaminhamento Syslog funcionam independentemente uns dos outros, mas podem ser gerenciados todos juntos em qualquer um dos hosts. Use cmdlets do PowerShell com privilégios administrativos em qualquer host para controlar o comportamento de todos os agentes de encaminhamento.

O encaminhador syslog no Azure Local dá suporte às seguintes configurações:

• Reencaminhamento syslog com TCP, autenticação mútua (cliente e servidor) e encriptação TLS: Nesta configuração, tanto o servidor syslog como o cliente syslog verificam a identidade um do outro através de certificados. As mensagens são enviadas através de um canal criptografado TLS. Para obter mais informações, consulte Encaminhamento Syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS.

• Reencaminhamento syslog com TCP, autenticação de servidor e encriptação TLS: Nesta configuração, o cliente syslog verifica a identidade do servidor syslog através de um certificado. As mensagens são enviadas através de um canal criptografado TLS. Para obter mais informações, consulte Encaminhamento Syslog com TCP, criptografia TLS e autenticação de servidor.

• Encaminhamento syslog com TCP e sem criptografia: nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por TCP. Para obter mais informações, consulte Encaminhamento Syslog com TCP e sem criptografia.

• Syslog com UDP e sem criptografia: Nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por UDP. Para obter mais informações, consulte Encaminhamento Syslog com UDP e sem criptografia.

  Importante

  Para proteger contra ataques man-in-the-middle e escutas de mensagens, a Microsoft recomenda vivamente que utilize TCP com autenticação e encriptação em ambientes de produção. A versão de criptografia TLS depende do handshake entre os pontos de extremidade. Ambos, TLS 1.2 e TLS 1.3, são suportados por padrão.

Cmdlets para configurar o encaminhamento de syslog

A configuração do encaminhador syslog requer acesso ao host físico usando uma conta de administrador de domínio. Um conjunto de cmdlets do PowerShell é adicionado a todos os hosts locais do Azure para controlar o comportamento do encaminhador syslog.

O Set-AzSSyslogForwarder cmdlet é usado para definir a configuração do encaminhador syslog para todos os hosts. Se bem-sucedida, inicia-se uma instância do plano de ação para configurar os agentes encaminhadores de syslog em todos os hosts. O ID da instância do plano de ação é retornado.

Use o cmdlet a seguir para passar as informações do servidor syslog para o encaminhador e configurar o protocolo de transporte, a criptografia, a autenticação e o certificado opcional usado entre o cliente e o servidor:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parâmetros do cmdlet

A tabela a seguir fornece parâmetros para o Set-AzSSyslogForwarder cmdlet:

Parâmetro	Descrição	Tipo	Necessário
Nome do Servidor	FQDN ou endereço IP do servidor syslog.	Cadeia (de carateres)	Sim
Porta do servidor	Número da porta em que o servidor syslog está escutando.	UInt16	Sim
Sem Encriptação	Força o cliente a enviar mensagens syslog em texto não criptografado.	Sinalizador	Não
IgnorarVerificaçãoCertificadoServidor	Ignore a validação do certificado fornecido pelo servidor syslog durante o handshake TLS inicial.	Sinalizador	Não
SkipServerCNCheck	Ignore a validação do valor Common Name do certificado fornecido pelo servidor syslog durante o handshake TLS inicial.	Sinalizador	Não
UtilizarUDP	Use syslog com UDP como protocolo de transporte.	Sinalizador	Não
Thumbprint do Certificado de Cliente	Impressão digital do certificado de cliente usado para se comunicar com o servidor syslog.	Cadeia	Não
OutputSeverity	Nível de log de saída. Os valores são Default ou Verbose. O padrão inclui níveis de gravidade: aviso, crítico ou erro. Verbose inclui todos os níveis de gravidade: verbose, informativo, aviso, crítico ou erro.	Cadeia (de carateres)	Não
Remover	Remova a configuração atual do encaminhador syslog e interrompa-o.	Sinalizador	Não

Reencaminhamento Syslog com TCP, autenticação mútua (cliente e servidor) e encriptação TLS

Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog sobre TCP com criptografia TLS. Durante o handshake inicial, o cliente verifica se o servidor fornece um certificado válido e confiável. O cliente também fornece um certificado ao servidor como prova de sua identidade.

Essa configuração é a mais segura, pois fornece validação completa da identidade do cliente e do servidor e envia mensagens por um canal criptografado.

Importante

A Microsoft recomenda que você use essa configuração para ambientes de produção.

Para configurar o encaminhador syslog com TCP, autenticação mútua e criptografia TLS, configure o servidor e forneça certificado ao cliente para autenticação no servidor.

Execute o seguinte cmdlet em um host físico:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Importante

O certificado do cliente deve conter uma chave privada. Se o certificado do cliente for assinado usando um certificado raiz autoassinado, você também deverá importar o certificado raiz.

Reencaminhamento do Syslog com TCP, autenticação de servidor e encriptação por TLS

Nessa configuração, o encaminhador syslog no Azure Local encaminha as mensagens para o servidor syslog sobre TCP com criptografia TLS. Durante o handshake inicial, o cliente também verifica se o servidor fornece um certificado válido e confiável.

Essa configuração impede que o cliente envie mensagens para destinos não confiáveis. TCP usando autenticação e criptografia é a configuração padrão e representa o nível mínimo de segurança que a Microsoft recomenda para um ambiente de produção.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Se você quiser testar a integração do seu servidor syslog com o encaminhador syslog local do Azure usando um certificado autoassinado ou não confiável, use esses sinalizadores para ignorar a validação do servidor feita pelo cliente durante o handshake inicial.

1. Ignore a validação do valor Common Name no certificado do servidor. Use esse sinalizador se você fornecer um endereço IP para seu servidor syslog.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Ignore a validação do certificado do servidor.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Importante

   A Microsoft recomenda que você não use o sinalizador -SkipServerCertificateCheck em ambientes de produção.

Reencaminhamento de Syslog com TCP e sem cifração

Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog via TCP sem criptografia. O cliente não verifica a identidade do servidor, nem fornece sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Importante

A Microsoft recomenda que você não use essa configuração em ambientes de produção.

Reencaminhamento de Syslog através de UDP sem encriptação

Nessa configuração, o cliente syslog no Azure Local encaminha mensagens para o servidor syslog sobre UDP, sem criptografia. O cliente não verifica a identidade do servidor, nem fornece sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Embora o UDP sem criptografia seja o mais fácil de configurar, ele não fornece nenhuma proteção contra ataques man-in-the-middle ou espionagem de mensagens.

Importante

A Microsoft recomenda que você não use essa configuração em ambientes de produção.

Ativar o encaminhamento de syslog

Execute o seguinte cmdlet para ativar o encaminhamento syslog:

Enable-AzSSyslogForwarder [-Force]

O encaminhador Syslog será ativado com a configuração armazenada fornecida pela última chamada bem-sucedida Set-AzSSyslogForwarder . O cmdlet falhará se nenhuma configuração tiver sido fornecida usando Set-AzSSyslogForwarder.

Desativar o encaminhamento do syslog

Execute o seguinte cmdlet para desabilitar o encaminhamento syslog:

Disable-AzSSyslogForwarder [-Force] 

Parâmetro para Enable-AzSSyslogForwarder e Disable-AzSSyslogForwarder cmdlets:

Parâmetro	Descrição	Tipo	Necessário
Força	Se for especificado, um plano de ação será sempre acionado, mesmo que o estado de destino seja o mesmo que o atual. Isso pode ser útil para redefinir alterações fora da banda.	Sinalizador	Não

Verificar a configuração do syslog

Depois de conectar com êxito o cliente syslog ao servidor syslog, você começará a receber notificações de eventos. Se você não vir notificações, verifique a configuração do encaminhador syslog do cluster executando o seguinte cmdlet:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Cada host tem seu próprio agente de encaminhador syslog que usa uma cópia local da configuração do cluster. Espera-se que sejam sempre iguais à configuração do cluster. Você pode verificar a configuração atual em cada host usando o seguinte cmdlet:

Get-AzSSyslogForwarder -PerNode 

Você também pode usar o seguinte cmdlet para verificar a configuração no host ao qual está conectado:

Get-AzSSyslogForwarder -Local

Parâmetros do cmdlet para o Get-AzSSyslogForwarder cmdlet:

Parâmetro	Descrição	Tipo	Necessário
Local	Mostrar a configuração usada atualmente no host atual.	Sinalizador	Não
PerNode	Mostrar a configuração usada atualmente em cada host.	Sinalizador	Não
Agrupamento	Mostrar a configuração global atual no Azure Local. Este é o comportamento padrão se nenhum parâmetro for fornecido.	Sinalizador	Não

Remover o encaminhamento do syslog

Execute o seguinte comando para remover a configuração do encaminhador syslog e parar o encaminhador syslog:

Set-AzSSyslogForwarder -Remove 

Esquema de mensagens e referência de log de eventos

O material de referência a seguir documenta o esquema de mensagens syslog e as definições de eventos.

Esquema de mensagem Syslog

O encaminhador syslog da infraestrutura local do Azure envia mensagens formatadas seguindo o protocolo syslog BSD definido em RFC3164. O CEF também é usado para formatar o conteúdo da mensagem syslog.

Cada mensagem syslog é estruturada com base neste esquema: Prioridade (PRI) | Horário | Host | Carga útil do CEF |

A parte PRI contém dois valores: facilidade e gravidade. Ambos dependem do tipo de mensagem, como o Evento do Windows, etc.

Esquema/definições de carga útil de formato de evento comum

A carga útil do formato CEF (Common Event Format) baseia-se na seguinte estrutura. O mapeamento para cada campo varia dependendo do tipo de mensagem, como Evento do Windows, etc.

MIE: |Versão | Fornecedor do dispositivo | Produto do dispositivo | Versão do dispositivo | ID da assinatura | Nome | Gravidade | Extensões |

• Versão: 0.0
• Fornecedor do dispositivo: Microsoft
• Produto do dispositivo: Microsoft Azure Local
• Versão do dispositivo: 1.0

Exemplos e mapeamento de eventos do Windows

Todos os eventos do Windows usam o valor 10 do recurso PRI.

• ID da assinatura: ProviderName:EventID
• Nome: TaskName
• Gravidade: Nível. Para obter detalhes, consulte a tabela de gravidade a seguir.
• Extensão: Nome da extensão personalizada. Para obter detalhes, consulte a tabela a seguir.

Severidade dos eventos do Windows

Valor de gravidade do PRI	Valor de gravidade do CEF	Nível de evento do Windows	Valor do MasLevel (em extensão)
7	0	Não definido	Valor: 0. Indica registos em todos os níveis.
2	10	Crítico	Valor: 1. Indica logs para um alerta crítico.
3	8	Erro	Valor: 2. Indica registos de um erro.
4	5	Aviso	Valor: 3. Indica logs de um aviso.
6	2	Informação	Valor: 4. Indica logs de uma mensagem informativa.
7	0	Verboso	Valor: 5. Indicar registos para uma mensagem detalhada.

Extensões personalizadas e eventos do Windows no Azure Local

Nome da extensão personalizada	Evento do Windows
MasChannel	Sistema
MasComputer [en]	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescrição	As configurações de Diretiva de Grupo para o usuário foram processadas com êxito. Não foram detetadas alterações desde o último processamento bem-sucedido da Diretiva de Grupo.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasPalavras-chave	0x8000000000000000
MasKeywordName	Sucesso da auditoria
MasLevel	4
MasOpcode	1
MasOpcodeName	informação
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Criação de Processos
MasUserData	KB4093112!! 5112!! Instalado!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Acontecimentos diversos

Eventos diversos que são encaminhados. Esses eventos não podem ser personalizados.

Tipo de evento	Consulta de eventos
Eventos de autenticação Wireless Lan 802.1x com endereço MAC Peer	query="Segurança!*[System[(EventID=5632)]]"
Novo serviço (4697)	query="Segurança!*[System[(EventID=4697)]]"
Reconexão da sessão TS (4778), desconexão da sessão TS (4779)	query="Segurança!*[System[(EventID=4778 ou EventID=4779)]]"
Acesso a objetos de compartilhamento de rede sem compartilhamentos IPC$ e Netlogon	query="Segurança![System[(EventID=5140)] e EventData[Data[@Name='ShareName']!='\\IPC$'] e EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Mudança de Hora do Sistema (4616)	query="Segurança!*[System[(EventID=4616)]]"
Logons locais sem eventos de rede ou serviço	query="Security!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']!='3'] e EventData[Data[@Name='LogonType']!='5']]"
Eventos apagados do Registo de Segurança (1102), Encerramento do Serviço de Registo de Eventos (1100)	query="Segurança!*[System[(EventID=1102 ou EventID=1100)]]"
Logoff iniciado pelo utilizador	query="Segurança!*[System[(EventID=4647)]]"
Logoff do usuário para todas as sessões de logon que não são da rede	query="Security!*[System[(EventID=4634)] e EventData[Data[@Name='LogonType'] != '3']]"
Eventos de logon do serviço se a conta de usuário não for LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']='5'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
Criação de compartilhamento de rede (5142), exclusão de compartilhamento de rede (5144)	query="Segurança!*[System[(EventID=5142 ou EventID=5144)]]"
Criação de processos (4688)	query="Segurança!*[System[EventID=4688]]"
Eventos do serviço de log de eventos específicos do canal de segurança	query="Segurança!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Privilégios especiais (acesso equivalente a administrador) atribuídos ao novo logon, excluindo LocalSystem	query="Security!*[System[(EventID=4672)] e EventData[Data[1] != 'S-1-5-18']]"
Novo usuário adicionado ao grupo de segurança local, global ou universal	query="Segurança!*[System[(EventID=4732 ou EventID=4728 ou EventID=4756)]]"
Usuário removido do grupo Administradores local	query="Security!*[System[(EventID=4733)] e EventData[Data[@Name='TargetUserName']='Administrators']]"
Serviços de Certificados recebeu solicitação de certificado (4886), Aprovado e Certificado emitido (4887), Solicitação negada (4888)	query="Segurança!*[System[(EventID=4886 ou EventID=4887 ou EventID=4888)]]"
Nova conta de usuário criada(4720), conta de usuário habilitada (4722), conta de usuário desabilitada (4725), conta de usuário excluída (4726)	query="Segurança!*[System[(EventID=4720 ou EventID=4722 ou EventID=4725 ou EventID=4726)]]"
Eventos antimalware antigos, mas apenas detetar eventos (reduzir o ruído)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] e (EventID >= 1116 e EventID <= 1119)]]"
Inicialização do sistema (12 - inclui OS/SP/Version) e desligamento	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] e (EventID=12 ou EventID=13)]]"
Instalação do serviço (7000), falha no início do serviço (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] e (EventID = 7000 ou EventID=7045)]]"
Iniciar solicitações de desligamento, com usuário, processo e motivo (se fornecido)	query="System!*[System[Provider[@Name='USER32'] e (EventID=1074)]]"
Eventos do serviço de log de eventos	query="Sistema!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Outros eventos de limpeza do log (104)	query="Sistema!*[Sistema[(EventID=104)]]"
Eventos de proteção contra exploits do EMET	query="Aplicação!*[System[Provider[@Name='EMET']]]"
Eventos WER apenas para falhas de aplicações	query="Application!*[System[Provider[@Name='Relatório de erros do Windows']] e EventData[Data[3]='APPCRASH']]"
Utilizador a iniciar sessão com perfil temporário (1511), não consegue criar perfil e está a usar perfil temporário (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] e (EventID=1511 ou EventID=1518)]]"
Eventos de falha/congelamento do aplicativo, semelhantes ao WER/1001. Isto inclui o caminho completo para o EXE/Módulo com defeito.	query="Application!*[System[Provider[@Name='Application Error'] e (EventID=1000)] ou System[Provider[@Name='Application Hang'] e (EventID=1002)]]"
Agendador de Tarefas Tarefa Registrada (106), Registro de Tarefa Excluído (141), Tarefa Excluída (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] e (EventID=106 ou EventID=141 ou EventID=142)]]"
Execução de aplicações empacotadas com interface moderna no AppLocker	query="Microsoft-Windows-AppLocker/Execução de aplicativos empacotados!*"
Instalação de aplicativo AppLocker empaquetado (Modern UI)	query="Microsoft-Windows-AppLocker/Implantação de aplicativos empacotados!*"
Registar tentativa de ligação TS ao servidor remoto	query="Microsoft-Windows-TerminalServices-RDPClient/Operacional!*[Sistema[(EventID=1024)]]"
Obtém todos os eventos de Verificação do Titular do Cartão Inteligente (CHV) (sucesso e falha) executados no host.	query="Microsoft-Windows-SmartCard-Auditoria/Autenticação!*"
Obtém todas as conexões UNC/unidades mapeadas bem-sucedidas	query="Microsoft-Windows-SMBClient/Operacional!*[System[(EventID=30622 ou EventID=30624)]]"
Provedor de eventos SysMon moderno	query="Microsoft-Windows-Sysmon/Operacional!*"
Eventos de deteção do fornecedor de eventos atual do Windows Defender (1006-1009) e (1116-1119); além de (5001,5010,5012) solicitados por clientes	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 e EventID <= 1009) ou (EventID >= 1116 e EventID <= 1119) ou (EventID = 5001 ou EventID = 5010 ou EventID = 5012) )]]"
Eventos de Integridade do Código	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] e (EventID=3076 ou EventID=3077)]]"
Eventos de parada/inicialização da CA: Serviço da CA interrompido (4880), Serviço da CA iniciado (4881), linha(s) do banco de dados da CA excluída (4896), modelo da CA carregado (4898)	query="Segurança!*[System[(EventID=4880 ou EventID = 4881 ou EventID = 4896 ou EventID = 4898)]]"
Eventos RRAS – gerados apenas no servidor IAS da Microsoft	query="Segurança!*[System[( (EventID >= 6272 e EventID <= 6280) )]]"
Encerramento do processo (4689)	query="Segurança!*[System[(EventID = 4689)]]"
Eventos modificados do Registo para Operações: Novo Valor de Registo criado (%%1904), Valor de Registo Existente modificado (%%1905), Valor de Registo Eliminado (%%1906)	query="Security!*[System[(EventID=4657)] e (EventData[Data[@Name='OperationType'] = '%%1904'] ou EventData[Data[@Name='OperationType'] = '%%1905'] ou EventData[Data[@Name='OperationType'] = '%%1906'])]"
Pedido feito para autenticar na rede sem fio (incluindo Peer MAC (5632))	query="Segurança!*[System[(EventID=5632)]]"
Um novo dispositivo externo foi reconhecido pelo sistema(6416)	query="Segurança!*[System[(EventID=6416)]]"
Eventos de autenticação RADIUS Endereço IP atribuído pelo usuário (20274), Usuário autenticado com êxito (20250), Usuário desconectado (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] e (EventID=20274 ou EventID=20250 ou EventID=20275)]]"
Eventos CAPI Cadeia de Construção (11), Chave Privada acedida (70), objeto X509 (90)	query="Microsoft-Windows-CAPI2/Operacional!*[System[(EventID=11 ou EventID=70 ou EventID=90)]]"
Grupos atribuídos a novo login (exceto contas incorporadas bem conhecidas)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
Eventos do cliente DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] e EventData[Data[@Name='QueryOptions'] != '140737488355328'] e EventData[Data[@Name='QueryResults']='']]"
Detetar drivers de modo de usuário carregados - para deteção potencial de BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operacional!*[System[(EventID=2004)]]"
Detalhes da execução do pipeline herdado do PowerShell (800)	query="Windows PowerShell!*[Sistema[(EventID=800)]]"
Defender interrompe eventos	query="System!*[System[(EventID=7036)] e EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] e EventData[Data[@Name='param2']='stopped']]"
Eventos de Gerenciamento do BitLocker	query="Gerenciamento Microsoft-Windows-BitLocker/BitLocker!*"

Próximos passos

Saiba mais sobre:

• Configurações de linha de base de segurança para o Azure Local.
• Controle de Aplicativo do Windows Defender para Azure Local.
• BitLocker para Azure Local.