Hantera syslog-vidarebefordran för Azure Local

Gäller för: Azure Local 2311.2 och senare

Den här artikeln beskriver hur du konfigurerar säkerhetshändelser som ska vidarebefordras till ett kundhanterat system för säkerhetsinformation och händelsehantering (SIEM) med hjälp av syslog-protokollet för Azure Local, version 23H2.

Använd syslog-vidarebefordran för att integrera med säkerhetsövervakningslösningar och för att hämta relevanta säkerhetshändelseloggar för att lagra dem för kvarhållning på din egen SIEM-plattform. Mer information om säkerhetsfunktioner i den här versionen finns i Säkerhetsfunktioner för Azure Local, version 23H2.

Konfigurera syslog-vidarebefordran

Syslog-vidarebefordran agenter distribueras på varje Lokal Azure-värd som standard, redo att konfigureras. Var och en av agenterna vidarebefordrar säkerhetshändelser i syslog-format från värden till den kundkonfigurerade syslog-servern.

Syslog-vidarebefordrande agenter fungerar oberoende av varandra men kan hanteras tillsammans på någon av värdarna. Använd PowerShell-cmdletar med administratörsbehörighet på alla värdar för att kontrollera beteendet för alla vidarebefordraragenter.

Syslog-vidarebefordraren i Azure Local stöder följande konfigurationer:

• Syslog-vidarebefordran med TCP, ömsesidig autentisering (klient och server) och TLS-kryptering: I den här konfigurationen kontrollerar både syslog-servern och syslog-klienten varandras identitet via certifikat. Meddelanden skickas via en TLS-krypterad kanal. Mer information finns i Syslog-vidarebefordran med TCP, ömsesidig autentisering (klient och server) och TLS-kryptering.

• Syslog-vidarebefordran med TCP, serverautentisering och TLS-kryptering: I den här konfigurationen verifierar syslog-klienten syslog-klienten syslog-serverns identitet via ett certifikat. Meddelanden skickas via en TLS-krypterad kanal. Mer information finns i Syslog-vidarebefordran med TCP, serverautentisering och TLS-kryptering.

• Syslog-vidarebefordran med TCP och ingen kryptering: I den här konfigurationen verifieras inte syslog-klienten och syslog-serveridentiteterna. Meddelanden skickas i klartext via TCP. Mer information finns i Syslog-vidarebefordran med TCP och ingen kryptering.

• Syslog med UDP och ingen kryptering: I den här konfigurationen verifieras inte syslog-klienten och syslog-serveridentiteterna. Meddelanden skickas i klartext via UDP. Mer information finns i Syslog-vidarebefordran med UDP och ingen kryptering.

  Viktigt!

  För att skydda mot man-in-the-middle-attacker och avlyssning av meddelanden rekommenderar Microsoft starkt att du använder TCP med autentisering och kryptering i produktionsmiljöer. TLS-krypteringsversionen beror på handskakningen mellan slutpunkterna. Både TLS 1.2 och TLS 1.3 stöds som standard.

Cmdletar för att konfigurera syslog-vidarebefordran

För att konfigurera syslog-vidarebefordraren krävs åtkomst till den fysiska värden med hjälp av ett domänadministratörskonto. En uppsättning PowerShell-cmdletar har lagts till i alla Lokala Azure-värdar för att styra beteendet för syslog-vidarebefordraren.

Cmdleten Set-AzSSyslogForwarder används för att ange konfigurationen för syslog-vidarebefordraren för alla värdar. Om det lyckas startas en åtgärdsplansinstans för att konfigurera syslog-vidarebefordrarens agenter på alla värdar. Åtgärdsplanens instans-ID returneras.

Använd följande cmdlet för att skicka syslog-serverinformationen till vidarebefordraren och för att konfigurera transportprotokollet, krypteringen, autentiseringen och det valfria certifikat som används mellan klienten och servern:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Cmdlet-parametrar

Följande tabell innehåller parametrar för cmdleten Set-AzSSyslogForwarder :

Parameter	Description	Typ	Obligatoriskt
ServerName	FQDN eller IP-adress för syslog-servern.	String	Ja
ServerPort	Portnummer som syslog-servern lyssnar på.	UInt16	Ja
NoEncryption	Tvinga klienten att skicka syslog-meddelanden i klartext.	Flagga	Nej
SkipServerCertificateCheck	Hoppa över valideringen av certifikatet som tillhandahålls av syslog-servern under den inledande TLS-handskakningen.	Flagga	Nej
SkipServerCNCheck	Hoppa över valideringen av common name-värdet för certifikatet som tillhandahålls av syslog-servern under den första TLS-handskakningen.	Flagga	Nej
UseUDP	Använd syslog med UDP som transportprotokoll.	Flagga	Nej
ClientCertificateThumbprint	Tumavtryck för klientcertifikatet som används för att kommunicera med syslog-servern.	String	Nej
OutputSeverity	Utdataloggningsnivå. Värden är Standard eller Utförliga. Standardvärdet innehåller allvarlighetsnivåer: varning, kritisk eller fel. Utförligt innehåller alla allvarlighetsnivåer: utförlig, information, varning, kritisk eller fel.	String	Nej
Ta bort	Ta bort den aktuella syslog-vidarebefordrarens konfiguration och stoppa syslog-vidarebefordraren.	Flagga	Nej

Syslog-vidarebefordran med TCP, ömsesidig autentisering (klient och server) och TLS-kryptering

I den här konfigurationen vidarebefordrar syslog-klienten i Azure Local meddelanden till syslog-servern via TCP med TLS-kryptering. Under den första handskakningen verifierar klienten att servern tillhandahåller ett giltigt, betrott certifikat. Klienten tillhandahåller också ett certifikat till servern som bevis på dess identitet.

Den här konfigurationen är den säkraste eftersom den ger fullständig validering av identiteten för både klienten och servern, och den skickar meddelanden via en krypterad kanal.

Viktigt!

Microsoft rekommenderar att du använder den här konfigurationen för produktionsmiljöer.

Konfigurera syslog-vidarebefordraren med TCP, ömsesidig autentisering och TLS-kryptering genom att konfigurera servern och tillhandahålla certifikat till klienten för att autentisera mot servern.

Kör följande cmdlet mot en fysisk värd:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Viktigt!

Klientcertifikatet måste innehålla en privat nyckel. Om klientcertifikatet signeras med ett självsignerat rotcertifikat måste du även importera rotcertifikatet.

Syslog-vidarebefordran med TCP, serverautentisering och TLS-kryptering

I den här konfigurationen vidarebefordrar syslog-vidarebefordraren i Azure Local meddelandena till syslog-servern via TCP med TLS-kryptering. Under den första handskakningen verifierar klienten också att servern tillhandahåller ett giltigt, betrott certifikat.

Den här konfigurationen förhindrar att klienten skickar meddelanden till ej betrodda mål. TCP med autentisering och kryptering är standardkonfigurationen och representerar den lägsta säkerhetsnivå som Microsoft rekommenderar för en produktionsmiljö.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Om du vill testa integreringen av din syslog-server med Azure Local syslog-vidarebefordraren med hjälp av ett självsignerat eller ej betrott certifikat använder du dessa flaggor för att hoppa över serververifieringen som utfördes av klienten under det första handskakningen.

1. Hoppa över valideringen av common name-värdet i servercertifikatet. Använd den här flaggan om du anger en IP-adress för din syslog-server.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Hoppa över verifieringen av servercertifikatet.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Viktigt!

   Microsoft rekommenderar att du inte använder -SkipServerCertificateCheck flaggan i produktionsmiljöer.

Syslog-vidarebefordran med TCP och ingen kryptering

I den här konfigurationen vidarebefordrar syslog-klienten i Azure Local meddelanden till syslog-servern via TCP utan kryptering. Klienten verifierar inte serverns identitet och tillhandahåller inte heller en egen identitet till servern för verifiering.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Viktigt!

Microsoft rekommenderar att du inte använder den här konfigurationen i produktionsmiljöer.

Syslog-vidarebefordran med UDP och ingen kryptering

I den här konfigurationen vidarebefordrar syslog-klienten i Azure Local meddelanden till syslog-servern via UDP, utan kryptering. Klienten verifierar inte serverns identitet och tillhandahåller inte heller en egen identitet till servern för verifiering.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Udp utan kryptering är det enklaste att konfigurera, men det ger inget skydd mot man-in-the-middle-attacker eller avlyssning av meddelanden.

Viktigt!

Microsoft rekommenderar att du inte använder den här konfigurationen i produktionsmiljöer.

Aktivera syslog-vidarebefordran

Kör följande cmdlet för att aktivera syslog-vidarebefordran:

Enable-AzSSyslogForwarder [-Force]

Syslog-vidarebefordraren aktiveras med den lagrade konfigurationen som tillhandahålls av det senaste lyckade Set-AzSSyslogForwarder anropet. Cmdleten misslyckas om ingen konfiguration har angetts med hjälp av Set-AzSSyslogForwarder.

Inaktivera syslog-vidarebefordran

Kör följande cmdlet för att inaktivera syslog-vidarebefordran:

Disable-AzSSyslogForwarder [-Force] 

Parameter för Enable-AzSSyslogForwarder och Disable-AzSSyslogForwarder cmdletar:

Parameter	Description	Typ	Obligatoriskt
Force	Om det anges utlöses alltid en åtgärdsplan även om måltillståndet är detsamma som aktuellt. Detta kan vara användbart för att återställa out-of-band-ändringar.	Flagga	Nej

Kontrollera konfigurationen av syslog

När du har anslutit syslog-klienten till din syslog-server börjar du ta emot händelsemeddelanden. Om du inte ser meddelanden kontrollerar du konfigurationen av syslog-vidarebefordraren i klustret genom att köra följande cmdlet:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Varje värd har en egen syslog-vidarebefordrare som använder en lokal kopia av klusterkonfigurationen. De förväntas alltid vara samma som klusterkonfigurationen. Du kan kontrollera den aktuella konfigurationen på varje värd med hjälp av följande cmdlet:

Get-AzSSyslogForwarder -PerNode 

Du kan också använda följande cmdlet för att verifiera konfigurationen på den värd som du är ansluten till:

Get-AzSSyslogForwarder -Local

Cmdlet-parametrar för cmdleten Get-AzSSyslogForwarder :

Parameter	Description	Typ	Obligatoriskt
Lokal	Visa konfiguration som används för närvarande på den aktuella värden.	Flagga	Nej
Pernod	Visa konfiguration som används för varje värd.	Flagga	Nej
Kluster	Visa aktuell global konfiguration på Azure Local. Det här är standardbeteendet om ingen parameter anges.	Flagga	Nej

Ta bort syslog-vidarebefordran

Kör följande kommando för att ta bort syslog-vidarebefordrarens konfiguration och stoppa syslog-vidarebefordraren:

Set-AzSSyslogForwarder -Remove 

Referens för meddelandeschema och händelselogg

Följande referensmaterialdokument syslog meddelandeschema och händelsedefinitioner.

Syslog-meddelandeschema

Syslog-vidarebefordraren för den lokala Azure-infrastrukturen skickar meddelanden som är formaterade efter BSD-syslogprotokollet som definierats i RFC3164. CEF används också för att formatera nyttolasten för syslog-meddelanden.

Varje syslog-meddelande är strukturerat baserat på det här schemat: Prioritet (PRI) | Tid | Värd | CEF-nyttolast |

PRI-delen innehåller två värden: anläggning och allvarlighetsgrad. Båda beror på typen av meddelande, till exempel Windows-händelse osv.

Nyttolastschema/definitioner för Common Event-format

Nyttolasten för Common Event-format (CEF) baseras på följande struktur. Mappningen för varje fält varierar beroende på typ av meddelande, till exempel Windows-händelse osv.

CEF: |Version | Enhetsleverantör | Enhetsprodukt | Enhetsversion | Signatur-ID | Namn | Allvarlighetsgrad | Tillägg |

• Version: 0.0
• Enhetsleverantör: Microsoft
• Enhetsprodukt: Microsoft Azure Local
• Enhetsversion: 1.0

Windows-händelsemappning och exempel

Alla Windows-händelser använder PRI-anläggningsvärdet 10.

• Signatur-ID: ProviderName:EventID
• Namn: TaskName
• Allvarlighetsgrad: Nivå. Mer information finns i följande allvarlighetsgradstabell.
• Tillägg: Namn på anpassat tillägg. Mer information finns i följande tabell.

Allvarlighetsgrad för Windows-händelser

PRI-allvarlighetsgrad	CEF-allvarlighetsgrad	Händelsenivå för Windows	MasLevel-värde (i tillägg)
7	0	Odefinierad	Värde: 0. Anger loggar på alla nivåer.
2	10	Kritiskt	Värde: 1. Anger loggar för en kritisk avisering.
3	8	Fel	Värde: 2. Anger loggar för ett fel.
4	5	Varning	Värde: 3. Anger loggar för en varning.
6	2	Information	Värde: 4. Anger loggar för ett informationsmeddelande.
7	0	Utförlig	Värde: 5. Anger loggar för ett utförligt meddelande.

Anpassade tillägg och Windows-händelser i Azure Local

Namn på anpassat tillägg	Windows-händelse
MasChannel	System
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	De grupprincip inställningarna för användaren har bearbetats. Inga ändringar har identifierats sedan den senaste bearbetningen av grupprincip.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Granskning lyckades
MasLevel	4
MasOpcode	1
MasOpcodeName	information
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Skapa process
MasUserData	KB4093112!! 5112!! Installerad!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Diverse händelser

Diverse händelser som vidarebefordras. Dessa händelser kan inte anpassas.

Händelsetyp	Händelsefråga
Trådlösa Lan 802.1x-autentiseringshändelser med Peer MAC-adress	query="Security!*[System[(EventID=5632)]]"
Ny tjänst (4697)	query="Security!*[System[(EventID=4697)]]"
Återanslutning av TS-session (4778), frånkoppling av TS-session (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]]"
Åtkomst till nätverksresursobjekt utan IPC$ och Netlogon-resurser	query="Säkerhet![System[(EventID=5140)] och EventData[Data[@Name='ShareName']!='\\IPC$'] och EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Systemtidsändring (4616)	query="Security!*[System[(EventID=4616)]]"
Lokala inloggningar utan nätverks- eller tjänsthändelser	query="Security!*[System[(EventID=4624)] och EventData[Data[@Name='LogonType']!='3'] och EventData[Data[@Name='LogonType']!='5']]"
Säkerhetsloggen rensade händelser (1102), Avstängning av EventLog-tjänsten (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]]"
Användarinitierad utloggning	query="Security!*[System[(EventID=4647)]]"
Användarloggning för alla inloggningssessioner som inte är nätverk	query="Security!*[System[(EventID=4634)] och EventData[Data[@Name='LogonType'] != '3']]"
Tjänstinloggningshändelser om användarkontot inte är LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] och EventData[Data[@Name='LogonType']='5'] och EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] och EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] och EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
Skapa nätverksresurs (5142), Ta bort nätverksresurs (5144)	query="Security!*[System[(EventID=5142 or EventID=5144)]]"
Process skapa (4688)	query="Security!*[System[EventID=4688]]"
Händelseloggtjänsthändelser som är specifika för säkerhetskanalen	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Särskilda privilegier (administratörsekvivalent åtkomst) som tilldelats ny inloggning, exklusive LocalSystem	query="Security!*[System[(EventID=4672)] och EventData[Data[1] != 'S-1-5-18']]"
Ny användare har lagts till i en lokal, global eller universell säkerhetsgrupp	query="Security!*[System[(EventID=4732 or EventID=4728 or EventID=4756)]]"
Användaren har tagits bort från den lokala gruppen Administratörer	query="Security!*[System[(EventID=4733)] och EventData[Data[@Name='TargetUserName']='Administrators']]"
Certificate Services mottog certifikatbegäran (4886), godkänd och utfärdad (4887), nekad begäran (4888)	query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]"
Nytt användarkonto har skapats(4720), användarkonto aktiverat (4722), användarkontot har inaktiverats (4725), användarkontot har tagits bort (4726)	query="Security!*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]]"
Gamla händelser mot skadlig kod, men bara identifiera händelser (minskar bruset)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] och (EventID >= 1116 och EventID <= 1119)]]"
Systemstart (12 – inkluderar OS/SP/Version) och avstängning	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] och (EventID=12 eller EventID=13)]]"
Tjänstinstallation (7000), tjänststartfel (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] och (EventID = 7000 eller EventID=7045)]]"
Starta begäranden om avstängning, med användare, process och orsak (om det tillhandahålls)	query="System!*[System[Provider[@Name='USER32'] och (EventID=1074)]]"
Händelseloggtjänsthändelser	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Andra logga rensade händelser (104)	query="System!*[System[(EventID=104)]]"
EMET/Exploit Protection-händelser	query="Application!*[System[Provider[@Name='EMET']]]"
WER-händelser endast för programkrascher	query="Application!*[System[Provider[@Name='Windows Felrapportering']] och EventData[Data[3]='APPCRASH']]"
Användarloggning med tillfällig profil (1511), kan inte skapa profil med hjälp av tillfällig profil (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] och (EventID=1511 eller EventID=1518)]]"
Programkrasch/låsningshändelser, liknande WER/1001. Dessa inkluderar fullständig sökväg till felande EXE/modul.	query="Application!*[System[Provider[@Name='Application Error'] och (EventID=1000)] eller System[Provider[@Name='Application Hang'] och (EventID=1002)]]"
Aktivitetsschemaläggaren har registrerats (106), uppgiftsregistreringen har tagits bort (141), uppgiften har tagits bort (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] och (EventID=106 eller EventID=141 eller EventID=142 )]]"
AppLocker-paketerad appkörning (modernt användargränssnitt)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
AppLocker-paketerad appinstallation (modernt användargränssnitt)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Loggförsök för TS-anslutning till fjärrserver	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Hämtar alla chv-händelser (card-holder verification) för smartkort (lyckade och misslyckade) som utförs på värden.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Hämtar all UNC/mappad enhetsanslutning	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 eller EventID=30624)]]"
Modern SysMon-händelseprovider	query="Microsoft-Windows-Sysmon/Operational!*"
Moderna händelser för Identifiering av Windows Defender-händelseprovider (1006-1009) och (1116-1119); plus (5001 5010 5012) req'd av kunder	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 och EventID <= 1009) eller (EventID >= 1116 och EventID <= 1119) eller (EventID = 5001 eller EventID = 5010 eller EventID = 5012) )]]"
Kodintegritetshändelser	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] och (EventID=3076 eller EventID=3077)]]"
CA-stopp/starthändelser CA-tjänst stoppad (4880), CA-tjänst startad (4881), CA DB-rad(er) borttagen (4896), CA-mall inläst (4898)	query="Security!*[System[(EventID=4880 eller EventID = 4881 eller EventID = 4896 eller EventID = 4898)]]"
RRAS-händelser – genereras endast på Microsoft IAS-servern	query="Security!*[System[( (EventID >= 6272 och EventID <= 6280) )]]"
Avsluta process (4689)	query="Security!*[System[(EventID = 4689)]]"
Registermodifierade händelser för åtgärder: Nytt registervärde har skapats (%%1904), befintligt registervärde ändrat (%%1905), registervärdet har tagits bort (%%1906)	query="Security!*[System[(EventID=4657)] och (EventData[Data[@Name='OperationType'] = '%%1904'] eller EventData[Data[@Name='OperationType'] = '%%1905'] eller EventData[Data[@Name='OperationType'] = '%%1906'])]"
Begäran om att autentisera till trådlösa nätverk (inklusive Peer MAC (5632))	query="Security!*[System[(EventID=5632)]]"
En ny extern enhet identifierades av systemet (6416)	query="Security!*[System[(EventID=6416)]]"
RADIUS-autentiseringshändelser Användartilldelad IP-adress (20274), Användaren har autentiserats (20250), användaren har kopplats från (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] och (EventID=20274 eller EventID=20250 eller EventID=20275)]]"
CAPI-händelser Build Chain (11), Private Key accessed (70), X509 object (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 or EventID=70 or EventID=90)]]"
Grupper som tilldelats ny inloggning (förutom välkända, inbyggda konton)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] och EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] och EventData[Data[Data[@Name='TargetUserSid'] != 'S-1-5-18'] och EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
DNS-klienthändelser	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] och EventData[Data[@Name='QueryOptions'] != '140737488355328'] och EventData[Data[@Name='QueryResults']='']]"
Identifiera användarlägesdrivrutiner som lästs in – för potentiell BadUSB-identifiering.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Information om körning av äldre PowerShell-pipeline (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
Defender stoppade händelser	query="System!*[System[(EventID=7036)] och EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] och EventData[Data[@Name='param2']='stopp']]"
BitLocker Management-händelser	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Nästa steg

Läs mer om:

• Inställningar för säkerhetsbaslinje för Azure Local.
• Windows Defender-programkontroll för Azure Local.
• BitLocker för Azure Local.