Gérer le transfert syslog pour Azure Stack HCI

S’applique à : Azure Stack HCI, version 23H2

Cet article explique comment configurer les événements de sécurité à transférer à un système SIEM (Security Information and Event Management) géré par le client à l’aide du protocole syslog pour Azure Stack HCI, version 23H2 (préversion).

Utilisez le transfert syslog pour intégrer des solutions de surveillance de la sécurité et récupérer les journaux d’événements de sécurité appropriés afin de les stocker pour les conserver sur votre propre plateforme SIEM. Pour plus d’informations sur les fonctionnalités de sécurité de cette version, consultez Fonctionnalités de sécurité pour Azure Stack HCI, version 23H2 (préversion) .

Configurer le transfert syslog

Les agents de transfert Syslog sont déployés sur chaque hôte Azure Stack HCI par défaut, prêts à être configurés. Chacun des agents transfère les événements de sécurité au format syslog de l’hôte vers le serveur syslog configuré par le client.

Les agents de transfert Syslog fonctionnent indépendamment les uns des autres, mais peuvent être gérés ensemble sur n’importe quel hôte. Utilisez des applets de commande PowerShell avec des privilèges d’administration sur n’importe quel hôte pour contrôler le comportement de tous les agents de redirecteur.

Le redirecteur syslog dans Azure Stack HCI prend en charge les configurations suivantes :

• Transfert Syslog avec TCP, authentification mutuelle (client et serveur) et chiffrement TLS 1.2 : Dans cette configuration, le serveur syslog et le client syslog vérifient l’identité de l’autre via des certificats. Les messages sont envoyés via un canal chiffré TLS 1.2. Pour plus d’informations, consultez Transfert Syslog avec TCP, authentification mutuelle (client et serveur) et chiffrement TLS 1.2.

• Transfert Syslog avec tcp, authentification du serveur et chiffrement TLS 1.2 : Dans cette configuration, le client syslog vérifie l’identité du serveur syslog via un certificat. Les messages sont envoyés via un canal chiffré TLS 1.2. Pour plus d’informations, consultez Transfert Syslog avec TCP, authentification du serveur et chiffrement TLS 1.2.

• Transfert Syslog avec TCP et sans chiffrement : Dans cette configuration, les identités du client syslog et du serveur syslog ne sont pas vérifiées. Les messages sont envoyés en texte clair via TCP. Pour plus d’informations, consultez Transfert Syslog avec TCP et sans chiffrement.

• Syslog avec UDP et sans chiffrement : Dans cette configuration, les identités du client syslog et du serveur syslog ne sont pas vérifiées. Les messages sont envoyés en texte clair via UDP. Pour plus d’informations, consultez Transfert Syslog avec UDP et aucun chiffrement.

  Important

  Pour vous protéger contre les attaques de l’intercepteur et les écoutes clandestines de messages, Microsoft vous recommande vivement d’utiliser TCP avec l’authentification et le chiffrement dans les environnements de production.

Applets de commande pour configurer le transfert de Syslog

La configuration du redirecteur syslog nécessite l’accès à l’hôte physique à l’aide d’un compte d’administrateur de domaine. Un ensemble d’applets de commande PowerShell a été ajouté à tous les hôtes Azure Stack HCI pour contrôler le comportement du redirecteur syslog.

L’applet Set-AzSSyslogForwarder de commande permet de définir la configuration du redirecteur syslog pour tous les hôtes. En cas de réussite, un plan d’action instance est démarré pour configurer les agents du redirecteur syslog sur tous les hôtes. L’ID de instance du plan d’action sera retourné.

Utilisez l’applet de commande suivante pour transmettre les informations du serveur syslog au redirecteur et configurer le protocole de transport, le chiffrement, l’authentification et le certificat facultatif utilisé entre le client et le serveur :

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Paramètres d’applet de commande

Le tableau suivant fournit des paramètres pour l’applet de Set-AzSSyslogForwarder commande :

Paramètre	Description	Type	Obligatoire
ServerName	Nom de domaine complet ou adresse IP du serveur Syslog.	String	Oui
ServerPort	Numéro du port où le serveur Syslog est à l’écoute.	UInt16	Oui
NoEncryption	Forcer le client à envoyer des messages Syslog en texte clair.	Indicateur	No
SkipServerCertificateCheck	Ignorer la validation du certificat fourni par le serveur Syslog pendant la négociation TLS initiale.	Indicateur	No
SkipServerCNCheck	Ignorer la validation de la valeur Nom courant du certificat fourni par le serveur Syslog pendant la négociation TLS initiale.	Indicateur	Non
UseUDP	Utiliser Syslog avec le protocole de transport UDP.	Indicateur	No
ClientCertificateThumbprint	Empreinte numérique du certificat client utilisé pour communiquer avec le serveur syslog.	String	Non
OutputSeverity	Niveau de journalisation des résultats. Les valeurs sont Par défaut ou Détails. « Par défaut » comprend les niveaux de gravité suivants : avertissement, critique ou erreur. « Détails » inclut tous les niveaux de gravité : détails, informations, avertissement, critique ou erreur.	String	Non
Supprimer	Supprimez la configuration actuelle du redirecteur syslog et arrêtez le redirecteur syslog.	Indicateur	No

Transfert Syslog avec TCP, authentification mutuelle (client et serveur) et chiffrement TLS 1.2

Dans cette configuration, le client syslog dans Azure Stack HCI transfère les messages au serveur syslog via TCP avec chiffrement TLS 1.2. Pendant la négociation initiale, le client vérifie que le serveur fournit un certificat valide et approuvé. Le client fournit également un certificat au serveur comme preuve de son identité.

Cette configuration est la plus sécurisée, car elle fournit une validation complète de l’identité du client et du serveur, et elle envoie des messages sur un canal chiffré.

Important

Microsoft vous recommande d’utiliser cette configuration pour les environnements de production.

Pour configurer le redirecteur syslog avec tcp, l’authentification mutuelle et le chiffrement TLS 1.2, configurez le serveur et fournissez un certificat au client pour qu’il s’authentifie auprès du serveur.

Exécutez l’applet de commande suivante sur un hôte physique :

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Important

Le certificat client doit contenir une clé privée. Si le certificat client est signé à l’aide d’un certificat racine auto-signé, vous devez également importer le certificat racine.

Transfert Syslog avec TCP, authentification du serveur et chiffrement TLS 1.2

Dans cette configuration, le redirecteur syslog dans Azure Stack HCI transfère les messages au serveur syslog via TCP avec chiffrement TLS 1.2. Pendant la négociation initiale, le client vérifie également que le serveur fournit un certificat valide et approuvé.

Cette configuration empêche le client d’envoyer des messages vers des destinations non approuvées. TCP avec authentification et chiffrement est la configuration par défaut et représente le niveau minimal de sécurité que Microsoft recommande pour un environnement de production.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Si vous souhaitez tester l’intégration de votre serveur syslog avec le redirecteur syslog Azure Stack HCI à l’aide d’un certificat auto-signé ou non approuvé, utilisez ces indicateurs pour ignorer la validation du serveur effectuée par le client pendant la négociation initiale.

1. Ignorez la validation de la valeur Common Name dans le certificat de serveur. Utilisez cet indicateur si vous fournissez une adresse IP pour votre serveur syslog.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Ignorez la validation du certificat de serveur.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Important

   Microsoft recommande de ne pas utiliser l’indicateur dans les -SkipServerCertificateCheck environnements de production.

Transfert Syslog avec TCP et sans chiffrement

Dans cette configuration, le client syslog dans Azure Stack HCI transfère les messages au serveur syslog via TCP sans chiffrement. Le client ne vérifie pas l’identité du serveur et ne fournit pas sa propre identité au serveur pour vérification.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Important

Microsoft recommande de ne pas utiliser cette configuration dans les environnements de production.

Transfert Syslog avec UDP et aucun chiffrement

Dans cette configuration, le client syslog dans Azure Stack HCI transfère les messages au serveur syslog via UDP, sans chiffrement. Le client ne vérifie pas l’identité du serveur et ne fournit pas sa propre identité au serveur pour vérification.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Bien qu’UDP sans chiffrement soit le plus facile à configurer, il ne fournit aucune protection contre les attaques d’homme-dans-le-milieu ou les écoutes de messages.

Important

Microsoft recommande de ne pas utiliser cette configuration dans les environnements de production.

Activer le transfert syslog

Exécutez l’applet de commande suivante pour activer le transfert syslog :

Enable-AzSSyslogForwarder [-Force]

Le redirecteur Syslog sera activé avec la configuration stockée fournie par le dernier appel réussi Set-AzSSyslogForwarder . L’applet de commande échoue si aucune configuration n’a été fournie à l’aide de Set-AzSSyslogForwarder.

Désactiver le transfert syslog

Exécutez l’applet de commande suivante pour désactiver le transfert syslog :

Disable-AzSSyslogForwarder [-Force] 

Paramètre pour Enable-AzSSyslogForwarder les applets de commande et Disable-AzSSyslogForwarder :

Paramètre	Description	Type	Obligatoire
Force	S’il est spécifié, un plan d’action est toujours déclenché même si l’état cible est le même que actuel. Cela peut être utile pour réinitialiser les modifications hors bande.	Indicateur	No

Vérifier la configuration de syslog

Une fois que vous avez correctement connecté le client syslog à votre serveur syslog, vous commencez à recevoir des notifications d’événements. Si vous ne voyez pas de notifications, vérifiez la configuration de votre redirecteur syslog de cluster en exécutant l’applet de commande suivante :

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Chaque hôte a son propre agent de redirecteur syslog qui utilise une copie locale de la configuration du cluster. Ils sont toujours censés être identiques à la configuration du cluster. Vous pouvez vérifier la configuration actuelle sur chaque hôte à l’aide de l’applet de commande suivante :

Get-AzSSyslogForwarder -PerNode 

Vous pouvez également utiliser l’applet de commande suivante pour vérifier la configuration sur l’hôte auquel vous êtes connecté :

Get-AzSSyslogForwarder -Local

Paramètres de l’applet de commande pour l’applet de Get-AzSSyslogForwarder commande :

Paramètre	Description	Type	Obligatoire
Local	Afficher la configuration actuellement utilisée sur l’hôte actuel.	Indicateur	No
PerNode	Afficher la configuration actuellement utilisée sur chaque hôte.	Indicateur	No
Cluster	Afficher la configuration globale actuelle sur Azure Stack HCI. Il s’agit du comportement par défaut si aucun paramètre n’est fourni.	Indicateur	No

Supprimer le transfert syslog

Exécutez la commande suivante pour supprimer la configuration du redirecteur syslog et arrêter le redirecteur syslog :

Set-AzSSyslogForwarder -Remove 

Informations de référence sur le schéma de message et le journal des événements

Le document de référence suivant documente le schéma de message syslog et les définitions d’événements.

Schéma du message syslog

Le redirecteur syslog de l’infrastructure Azure Stack HCI envoie des messages au format suivant le protocole syslog BSD défini dans RFC3164. Cef est également utilisé pour mettre en forme la charge utile du message syslog.

Chaque message syslog est structuré en fonction de ce schéma : Priorité (PRI) | Heure | Hôte | Charge utile CEF |

La partie PRI contient deux valeurs : facilité et gravité. Les deux dépendent du type de message, comme l’événement Windows, etc.

Schéma/définitions de charge utile au format d’événement commun

La charge utile CEF (Common Event Format) est basée sur la structure suivante. Le mappage pour chaque champ varie en fonction du type de message, comme l’événement Windows, etc.

CEF : |Version | Fournisseur d’appareils | Produit de l’appareil | Version de l’appareil | ID de signature | Nom | Gravité | Extensions |

• Version : 0.0
• Fournisseur de l’appareil : Microsoft
• Produit de l’appareil : Microsoft Azure Stack HCI
• Version de l’appareil : 1.0

Mappage d’événements Windows et exemples

Tous les événements Windows utilisent la valeur de la fonctionnalité PRI 10.

• ID de signature : ProviderName :EventID
• Nom : TaskName
• Gravité : niveau. Pour plus d’informations, consultez le tableau de gravité suivant.
• Extension : nom d’extension personnalisé. Pour plus de détails, consultez le tableau suivant.

Gravité des événements Windows

Valeur de gravité PRI	Valeur de gravité CEF	Niveau d’événement Windows	Valeur MasLevel (dans l’extension)
7	0	Indéfini	Valeur : 0. Indique les journaux à tous les niveaux.
2	10	Critique	Valeur : 1. Indique les journaux d'alertes critiques.
3	8	Error	Valeur : 2. Indique les journaux d'erreurs.
4	5	Avertissement	Valeur : 3. Indique les journaux d'avertissements.
6	2	Information	Valeur : 4. Indique les journaux de messages d'information.
7	0	Commentaires	Valeur : 5. Indique les journaux d’activité d’un message détaillé.

Extensions personnalisées et événements Windows dans Azure Stack HCI

Nom de l’extension personnalisée	événement Windows
MasChannel	Système
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription	Les paramètres de stratégie de groupe pour l’utilisateur ont été traités avec succès. Aucune modification n’a été détectée depuis le dernier traitement réussi de la stratégie de groupe.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Succès de l’audit
MasLevel	4
MasOpcode	1
MasOpcodeName	info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Création de processus
MasUserData	KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Événements divers

Événements divers qui sont transférés. Ces événements ne peuvent pas être personnalisés.

Type d'événement	Requête d’événement
Événements d’authentification Wireless Lan 802.1x avec adresse MAC d’homologue	query="Security !*[System[(EventID=5632)]] »
Nouveau service (4697)	query="Security !*[System[(EventID=4697)]] »
Reconnexion de session TS (4778), déconnexion de session TS (4779)	query="Security !*[System[(EventID=4778 or EventID=4779)]] »
Accès aux objets de partage réseau sans partages IPC$ et Netlogon	query="Sécurité ! [System[(EventID=5140)] and EventData[Data[@Name='ShareName'] !='\\IPC$'] and EventData[Data[@Name='ShareName'] !='\*\NetLogon']] »
Changement d’heure système (4616)	query="Security !*[System[(EventID=4616)]] »
Ouvertures de session locales sans événements réseau ou de service	query="Security !*[System[(EventID=4624)] and EventData[Data[@Name='LogonType'] !='3'] and EventData[Data[@Name='LogonType'] !='5']] »
Événements effacés du journal de sécurité (1102), Arrêt du service EventLog (1100)	query="Security !*[System[(EventID=1102 or EventID=1100)]] »
Déconnexion initiée par l’utilisateur	query="Security !*[System[(EventID=4647)]] »
Fermeture de session utilisateur pour toutes les sessions d’ouverture de session non réseau	query="Security !*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']] »
Événements d’ouverture de session de service si le compte d’utilisateur n’est pas LocalSystem, NetworkService, LocalService	query="Security !*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18 '] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]
Créer un partage réseau (5142), Supprimer le partage réseau (5144)	query="Security !*[System[(EventID=5142 or EventID=5144)]] »
Processus de création (4688)	query="Security !*[System[EventID=4688]] »
Événements de service de journal des événements spécifiques au canal de sécurité	query="Security !*[System[Provider[@Name='Microsoft-Windows-Eventlog']]] »
Privilèges spéciaux (accès Administration équivalent) attribués à la nouvelle ouverture de session, à l’exclusion de LocalSystem	query="Security !*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']] »
Nouvel utilisateur ajouté au groupe de sécurité local, global ou universel	query="Security !*[System[(EventID=4732 or EventID=4728 or EventID=4756)]] »
Utilisateur supprimé du groupe Administrateurs local	query="Security !*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']] »
Les services de certificats ont reçu une demande de certificat (4886), approuvé et émis un certificat (4887), une demande refusée (4888)	query="Security !*[System[(EventID=4886 or EventID=4887 or EventID=4888)]] »
Nouveau compte d’utilisateur créé(4720), compte d’utilisateur activé (4722), compte d’utilisateur désactivé (4725), compte d’utilisateur supprimé (4726)	query="Security !*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]] »
Anciens événements anti-programme malveillant, mais uniquement détecter les événements (réduit le bruit)	query="System !*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119)]] »
Démarrage du système (12 - inclut système d’exploitation/SP/version) et arrêt	query="System !*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]] »
Installation du service (7000), échec du démarrage du service (7045)	query="System !*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045)]] »
Arrêt initialisation des demandes, avec l’utilisateur, le processus et la raison (le cas échéant)	query="System !*[System[Provider[@Name='USER32'] and (EventID=1074)]] »
Événements du service journal des événements	query="System !*[System[Provider[@Name='Microsoft-Windows-Eventlog']]] »
Autres événements effacés du journal (104)	query="System !*[System[(EventID=104)]] »
Événements EMET/Exploit Protection	query="Application !*[System[Provider[@Name='EMET']]] »
Événements WER pour les incidents d’application uniquement	query="Application !*[System[Provider[@Name='Rapport d'erreurs Windows']] and EventData[Data[3]='APPCRASH']] »
Utilisateur se connectant avec profil temporaire (1511), ne peut pas créer de profil, à l’aide d’un profil temporaire (1518)	query="Application !*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]] »
Événements de blocage/blocage de l’application, similaires à WER/1001. Il s’agit notamment du chemin d’accès complet à l’exe/module défaillant.	query="Application !*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]] »
Tâche inscrite dans le planificateur de tâches (106), Inscription des tâches supprimée (141), Tâche supprimée (142)	query="Microsoft-Windows-TaskScheduler/Operational !*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]] »
Exécution d’applications empaquetées AppLocker (interface utilisateur moderne)	query="Microsoft-Windows-AppLocker/Empaquetée app-Execution !* »
Installation de l’application empaquetée AppLocker (interface utilisateur moderne)	query="Microsoft-Windows-AppLocker/Empaqueté app-Deployment !* »
Tentative de journalisation de la connexion TS au serveur distant	query="Microsoft-Windows-TerminalServices-RDPClient/Operational !*[System[(EventID=1024)]] »
Obtient tous les événements de vérification carte Card-Holder intelligente (CHV) (réussite et échec) exécutés sur l’hôte.	query="Microsoft-Windows-SmartCard-Audit/Authentication !* »
Obtient toutes les connexions UNC/lecteurs mappés réussies	query="Microsoft-Windows-SMBClient/Operational !*[System[(EventID=30622 or EventID=30624)]] »
Fournisseur d’événements SysMon moderne	query="Microsoft-Windows-Sysmon/Operational !* »
Fournisseur d’événements de Windows Defender moderne Événements de détection (1006-1009) et (1116-1119) ; plus (5001 5010 5012) rééquisitation par les clients	query="Microsoft-Windows-Windows Defender/Operational !*[System[( (EventID >= 1006 and EventID <= 1009) or (EventID >= 1116 and EventID <= 1119) or (EventID = 5001 or EventID = 5010 or EventID = 5012) )]] »
Événements d’intégrité du code	query="Microsoft-Windows-CodeIntegrity/Operational !*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and (EventID=3076 or EventID=3077)]] »
Événements d’arrêt/de démarrage de l’autorité de certification : service arrêté (4880), service d’autorité de certification démarré (4881), lignes de base de données d’autorité de certification supprimées (4896), modèle d’autorité de certification chargé (4898)	query="Security !*[System[(EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898)]] »
Événements RRAS : générés uniquement sur le serveur Microsoft IAS	query="Security !*[System[( (EventID >= 6272 and EventID <= 6280) )]] »
Arrêt du processus (4689)	query="Security !*[System[(EventID = 4689)]] »
Événements de registre modifiés pour les opérations : nouvelle valeur de Registre créée (%%1904), valeur de Registre existante modifiée (%%1905), valeur de Registre supprimée (%%1906)	query="Security !*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] or EventData[Data[@Name='OperationType'] = '%%1905'] or EventData[Data[@Name='OperationType'] = '%%1906'])] »
Demande d’authentification auprès du réseau sans fil (y compris Peer MAC (5632))	query="Security !*[System[(EventID=5632)]] »
Un nouvel appareil externe a été reconnu par le Système(6416)	query="Security !*[System[(EventID=6416)]] »
Événements d’authentification RADIUS Adresse IP affectée par l’utilisateur (20274), Utilisateur correctement authentifié (20250), Utilisateur déconnecté (20275)	query="System !*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]] »
Événements CAPI Chaîne de build (11), Clé privée accessible (70), objet X509 (90)	query="Microsoft-Windows-CAPI2/Operational !*[System[(EventID=11 or EventID=70 or EventID=90)]] »
Groupes affectés à la nouvelle connexion (à l’exception des comptes intégrés connus)	query="Microsoft-Windows-LSA/Operational !*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] and EventData[Data[Data[@Name='TargetUserSid'] != 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]
Événements du client DNS	query="Microsoft-Windows-DNS-Client/Operational !*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']=']]
Détecter User-Mode pilotes chargés pour la détection potentielle de BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational !*[System[(EventID=2004)]] »
Détails de l’exécution du pipeline PowerShell hérité (800)	query="Windows PowerShell !*[System[(EventID=800)]] »
Événements arrêtés par Defender	query="System !*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] and EventData[Data[@Name='param2']='stopped']] »
Événements de gestion BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management !* »

Étapes suivantes

Pour en savoir plus :

• Paramètres de base de référence de sécurité pour Azure Stack HCI.
• Windows Defender Contrôle d’application pour Azure Stack HCI.
• BitLocker pour Azure Stack HCI.