Requêtes pour la table SecurityEvent
Événements de sécurité les ID d’événement les plus courants
Cette requête affiche une liste décroissante de la quantité d’événements ingérés par EventId pour l’audit de sécurité.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Membres ajoutés aux groupes de sécurité
Qui a été ajouté au groupe avec sécurité au cours de la dernière journée ?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Utilisations d’un mot de passe en texte clair
Répertoriez tous les comptes qui se sont connectés à l’aide d’un mot de passe en texte clair au cours du dernier jour.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Échecs de connexion Windows
Recherchez les rapports de comptes Windows qui n’ont pas pu se connecter.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Toutes les activités de sécurité
Activités de sécurité triées par heure (les plus récentes en premier).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Activités de sécurité sur l’appareil
Activités de sécurité sur un appareil spécifique triées par heure (la plus récente en premier).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Activités de sécurité pour Administration
Activités de sécurité sur un appareil spécifique pour l’administrateur triées par heure (la plus récente en premier).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Activité de connexion par appareil
Compte les activités d’ouverture de session par appareil.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Appareils avec plus de 10 ouvertures de session
Compte les activités d’ouverture de session par appareil avec plus de 10 ouvertures de session.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Anti-programme malveillant terminé par les comptes
Comptes ayant pris fin Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Appareils avec arrêt anti-programme malveillant
Appareils qui se sont arrêtés Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Appareils où le hachage a été exécuté
Appareils sur lesquels hash.exe a été exécuté plus de 5 fois.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Noms de processus exécutés
Listes nombre d’exécutions par processus.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Appareils avec journal de sécurité effacé
Appareils dont le journal de sécurité a été effacé.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Activité de connexion par compte
Activité de connexion par compte.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Comptes avec des ouvertures de session inférieures à 5 fois
Activité d’ouverture de session pour les comptes avec moins de 5 ouvertures de session.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Comptes connectés distants sur les appareils
Comptes connectés distants sur un appareil spécifique.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Ordinateurs avec ouvertures de session de compte invité
Ordinateurs avec des ouvertures de session à partir de comptes invités.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Membres ajoutés aux groupes avec sécurité
Membres ajoutés aux groupes activés par la sécurité.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Modifications de la stratégie de sécurité du domaine
Compte les événements de la stratégie de domaine modifiés.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Modifications de la stratégie d’audit système
La stratégie d’audit système a modifié les événements par ordinateur.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Exécutables suspects
Listes des exécutables suspects.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Ouvertures de session avec mot de passe en texte clair
Ouvertures de session avec mot de passe en texte clair par compte cible.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Ordinateurs avec journaux d’événements nettoyés
Ordinateurs avec des journaux d’événements nettoyés.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Échec de l’ouverture de session des comptes
Compte les ouvertures de session ayant échoué par compte cible.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Comptes verrouillés
Compte les comptes verrouillés par compte cible.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Tentatives de modification ou de réinitialisation des mots de passe
Compte les tentatives de modification/réinitialisation de mots clés par compte cible.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Groupes créés ou modifiés
Groupes créés ou modifiés par compte cible.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Tentatives d’appel de procédure distante
Compte les tentatives d’appel de procédure distante par ordinateur.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Comptes d’utilisateur modifiés
Compte les modifications de compte d’utilisateur par compte cible.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour