Поделиться через

Запросы к таблице ADAssessmentRecommendation

  • Статья

Сведения об использовании этих запросов в портал Azure см. в руководстве по Log Analytics. Сведения о REST API см. в разделе "Запрос".

Рекомендации AD по области фокусировки

Подсчет всех рекоменций AD по области фокусировки.

ADAssessmentRecommendation 
| summarize AggregatedValue = count() by FocusArea

Рекомендации AD по компьютеру

Подсчет рекомендаций AD с неудачным результатом на компьютере.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Computer

Рекомендации AD по лесу

Подсчет рекомендаций AD с неудачным результатом по лесу.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Forest

Рекомендации AD по домену

Подсчет рекомендаций AD с неудачным результатом по домену.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Domain

Рекомендации AD по DomainController

Подсчет рекомендаций AD с неудачным результатом контроллера домена.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by DomainController

Рекомендации AD по affectedObjectType

Подсчет рекомендаций AD с неудачным результатом по затронутму типу объекта.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by AffectedObjectType

Сколько раз каждый уникальный триггер рекомендации AD?

Подсчет рекомендаций AD с неудачным результатом по рекомендациям.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Recommendation

Рекомендации по обеспечению безопасности оценки AD с высоким приоритетом

Последняя рекомендация по обеспечению безопасности с высоким приоритетом, в результате чего произошел сбой по идентификатору рекомендации.

ADAssessmentRecommendation
| where FocusArea == 'Security and Compliance' and RecommendationResult == 'Failed' and RecommendationScore>=35
| summarize arg_max(TimeGenerated, *) by RecommendationId