Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per informazioni sull'uso di queste query nel portale di Azure, vedere il Tutorial su Log Analytics. Per l'API REST, vedere Query.
Gli ID degli eventi di sicurezza più comuni
Questa query visualizza un elenco decrescente della quantità di eventi acquisiti per eventId per il monitoraggio della sicurezza.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Membri aggiunti ai gruppi di sicurezza
Chi è stato aggiunto al gruppo abilitato per la sicurezza nell'ultimo giorno?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Uso della password di testo non crittografato
Elencare tutti gli account che hanno eseguito l'accesso usando una password non crittografata nell'ultimo giorno.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Tentativi di accesso non riusciti a Windows
Trovare i report degli account di Windows che non sono riusciti ad accedere.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Tutte le attività di sicurezza
Attività di sicurezza ordinate in base all'ora (più recente).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Attività di sicurezza nel dispositivo
Attività di sicurezza in un dispositivo specifico ordinato in base all'ora (più recente).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Attività di sicurezza per l'amministratore
Attività di sicurezza in un dispositivo specifico per l'amministratore ordinato in base all'ora (più recente).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Attività di accesso per dispositivo
Conta le attività di accesso per ogni dispositivo.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Dispositivi con più di 10 logon
Conta le attività di accesso per ogni dispositivo con più di 10 accessi.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Account con terminazione di Antimalware
Account che hanno terminato Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Dispositivi con terminazione di Antimalware
Dispositivi che hanno terminato Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Dispositivi in cui è stato eseguito l'hash
Dispositivi in cui hash.exe è stato eseguito più di 5 volte.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Nomi di processo eseguiti
Elenca il numero di esecuzioni per processo.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Dispositivi con registro di sicurezza cancellato
Dispositivi con registro di protezione cancellato.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Attività di accesso per account
Attività di accesso per account.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Account con meno di 5 accessi
Attività di accesso per gli account con meno di 5 accessi.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Account registrati in remoto nei dispositivi
Account registrati in remoto in un dispositivo specifico.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Computer con accessi di account Guest
Computer con accessi da account guest.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Membri aggiunti ai gruppi abilitati per la sicurezza
Membri aggiunti ai gruppi con funzionalità di sicurezza abilitata.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Modifiche ai criteri di sicurezza del dominio
Conta gli eventi relativi alla modifica dei criteri di dominio.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Modifiche ai criteri di controllo del sistema
I criteri di controllo del sistema hanno modificato gli eventi in base al computer.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
File eseguibili sospetti
Elenca i file eseguibili sospetti.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Accessi con password di testo non crittografato
Accessi con password di testo non crittografato per account di destinazione.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Computer con registri eventi puliti
Computer con registri eventi puliti.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Non è possibile accedere agli account
Conta i tentativi di accesso falliti per l'account di destinazione.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Account bloccati
Conta gli account bloccati per account di destinazione.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Tentativi di modifica o di reimpostazione delle password
Conta i tentativi di modifica/reimpostazione delle parole chiave per ogni account di destinazione.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Gruppi creati o modificati
Gruppi creati o modificati per ogni account di destinazione.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Tentativi di chiamata da procedura remota
Numero di tentativi di chiamata della procedura remota per computer.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Account utente modificati
Conta le modifiche dell'account utente per ogni account di destinazione.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount