Consultas para a tabela SecurityEvent
IDs de eventos mais comuns dos Eventos de Segurança
Esta consulta apresenta uma lista descendente da quantidade de eventos ingeridos por EventId para Auditoria de Segurança.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Membros adicionados a grupos de segurança
Quem foi adicionado ao grupo com capacidade de segurança durante o último dia?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Utilizações de palavra-passe de texto não encriptado
Liste todas as contas que iniciaram sessão com uma palavra-passe de texto não encriptado no último dia.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Inícios de sessão falhados do Windows
Encontre relatórios de contas do Windows que não conseguiram iniciar sessão.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
todas as Atividades de Segurança
Atividades de segurança ordenadas por hora (a mais recente primeiro).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Atividades de Segurança no Dispositivo
Atividades de segurança num dispositivo específico ordenadas por hora (mais recente primeiro).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Atividades de Segurança para Administração
Atividades de segurança num dispositivo específico para administrador ordenadas por hora (mais recente primeiro).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Atividade de Início de Sessão por Dispositivo
Conta as atividades de início de sessão por dispositivo.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Dispositivos com mais de 10 inícios de sessão
Conta as atividades de início de sessão por dispositivo com mais de 10 inícios de sessão.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Antimalware Terminado de Contas
Contas que terminaram Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Dispositivos com Antimalware Terminado
Dispositivos que terminaram Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Dispositivos onde o Hash foi executado
Dispositivos em que hash.exe foi executado mais de 5 vezes.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Nomes de Processos Executados
Listas número de execuções por processo.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Dispositivos com o Registo de Segurança Limpo
Dispositivos com o registo securtiy limpo.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Atividade de Início de Sessão por Conta
Atividade de início de sessão por conta.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Contas com menos de 5 vezes inícios de sessão
Atividade de início de sessão para contas com menos de 5 inícios de sessão.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Contas Registadas Remotas em Dispositivos
Contas registadas remotas num dispositivo específico.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Computadores com Inícios de Sessão de Conta de Convidado
Computadores com inícios de sessão de contas de convidado.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Membros Adicionados a Grupos Com Segurança Ativada
Membros adicionados aos grupos com segurança ativada.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Alterações à Política de Segurança de Domínio
Conta os eventos da política de domínio alterados.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Alterações à Política de Auditoria do Sistema
A política de auditoria do sistema alterou os eventos por computador.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Executáveis Suspeitos
Listas executáveis suspeitos.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Inícios de sessão com palavra-passe de texto limpa
Inícios de sessão com palavra-passe de texto não encriptado por conta de destino.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Computadores com Registos de Eventos Limpos
Computadores com registos de eventos limpos.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Falha ao Iniciar Sessão nas Contas
As contagens falharam os inícios de sessão por conta de destino.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Contas Bloqueadas
Contagens bloqueadas por conta de destino.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Alterar ou Repor Tentativas de Palavras-passe
Conta as tentativas de palavras-passe de alteração/reposição por conta de destino.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Grupos Criados ou Modificados
Grupos criados ou modificados por conta de destino.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Tentativas de Chamada de Procedimento Remoto
Conta as tentativas de chamada de procedimento remoto por computador.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Contas de Utilizador Alteradas
Conta as alterações da conta de utilizador por conta de destino.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários