A SecurityEvent tábla lekérdezései
A biztonsági események leggyakoribb eseményazonosítói
Ez a lekérdezés a security-auditing eseményazonosítónként betöltött eseménymennyiség csökkenő listáját jeleníti meg.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Biztonsági csoportokhoz hozzáadott tagok
Ki lett hozzáadva a biztonsági csoporthoz az elmúlt nap során?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
A tiszta szöveges jelszó használata
Listázza azokat a fiókokat, amelyek az elmúlt nap során világos szöveges jelszóval jelentkeztek be.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
A Windows nem tudott bejelentkezni
Keresse meg azokról a Windows-fiókokról szóló jelentéseket, amelyek nem tudtak bejelentkezni.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Minden biztonsági tevékenység
Biztonsági tevékenységek idő szerint rendezve (elsőként a legújabb).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Biztonsági tevékenységek az eszközön
Biztonsági tevékenységek egy adott eszközön, idő szerint rendezve (elsőként a legújabb).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Biztonsági tevékenységek Rendszergazda
Biztonsági tevékenységek egy adott eszközön a rendszergazda számára idő szerint rendezve (elsőként a legújabb).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Bejelentkezési tevékenység eszköz szerint
A bejelentkezési tevékenységek száma eszközönként.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
10-nél több bejelentkezéssel rendelkező eszközök
A 10-nél több bejelentkezéssel rendelkező eszközökönként megszámlálja a bejelentkezési tevékenységeket.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Fiókok leállított kártevőirtója
A Microsoft Antimalware megszüntetett fiókok.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Kártevőirtóval leállított eszközök
Az Microsoft Antimalware leállított eszközök.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Olyan eszközök, ahol a kivonat végrehajtása megtörtént
Azokat az eszközöket, ahol hash.exe több mint 5 alkalommal hajtották végre.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Végrehajtott folyamatnevek
Listák végrehajtások száma folyamatonként.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
A biztonsági naplóval rendelkező eszközök törölve
A biztonságossági naplóval rendelkező eszközök törölve.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Bejelentkezési tevékenység fiók szerint
Bejelentkezési tevékenység fiók szerint.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Kevesebb mint 5 alkalommal bejelentkezett fiókok
Bejelentkezési tevékenység 5-nél kevesebb bejelentkezéssel rendelkező fiókok esetén.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Távoli naplózott fiókok az eszközökön
Távoli naplózott fiókok egy adott eszközön.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Számítógépek vendégfiók-bejelentkezéssel
A vendégfiókokból való bejelentkezéssel rendelkező számítógépek.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Biztonsági csoportokhoz hozzáadott tagok
A biztonsági csoportokhoz hozzáadott tagok.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Tartományi biztonsági szabályzat módosításai
Megszámolja a tartományházirend módosult eseményeit.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Rendszernaplózási szabályzat módosításai
A rendszernaplózási szabályzat számítógép szerint módosította az eseményeket.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Gyanús végrehajtható fájlok
Listák gyanús végrehajtható fájlokat.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Bejelentkezések üres szöveges jelszóval
Bejelentkezések világos szöveges jelszóval a célfiók szerint.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Megtisztított eseménynaplókkal rendelkező számítógépek
Megtisztított eseménynaplókkal rendelkező számítógépek.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
A fiókok bejelentkezése sikertelen
A sikertelen bejelentkezések száma célfiók szerint.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Zárolt fiókok
Zárolt fiókok száma célfiók szerint.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Jelszómódosítási vagy jelszó-visszaállítási kísérletek
Megszámolja a módosítási/visszaállítási paswords-kísérleteket célfiókonként.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Létrehozott vagy módosított csoportok
Célfiókonként létrehozott vagy módosított csoportok.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Távoli eljáráshívási kísérletek
Számítógépenként megszámolja a távoli eljáráshívási kísérleteket.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Felhasználói fiókok módosultak
Megszámolja a felhasználói fiókok módosításait célfiókonként.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: