Buenas,
Espero que se encuentren bien.
Me gustaría escalar esta pregunta, tengo un LAW para su respectiva ingesta de logs, pero no logro realizar la ingesta de fallos de inicio de sesión a través del evento 4625 y generar una alerta.
Estoy ejecutando la siguiente consulta:
SecurityEvent
| where EventID == 4625
| summarize FailedLogins = count() by Account,Computer, IpAddress
| sort by FailedLogins desc
Me gustaría saber si estoy omitiendo alguna configuración, ya que me indica que no tiene data.
No results found from the last 24 hours. (Se intenta con diferente rango)
Saludos.
