Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сведения об использовании этих запросов в портале Azure см. в разделе 'Руководство по Log Analytics'. Сведения о REST API см. в разделе "Запрос".
Наиболее распространенные идентификаторы событий, связанных с безопасностью
В этом запросе отображается список количества событий, обработанных по убыванию для каждого EventId в секции Security-Auditing.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Участники, добавленные в группы безопасности
Кто был добавлен в группу с поддержкой безопасности за последний день?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Использование пароля с четким текстом
Список всех учетных записей, входивших в систему с использованием пароля в открытом виде за последний день.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Неудачные попытки входа в Windows
Найдите сведения об учетных записях Windows, которые не смогли войти.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
все действия безопасности;
Действия безопасности, отсортированные по времени (самые новые).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Действия безопасности на устройстве
Действия безопасности на определенном устройстве, отсортированные по времени (самые новые).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Действия безопасности для администратора
Действия безопасности на определенном устройстве для администратора отсортированы по времени (сначала новейшие).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Активность входа в систему по устройствам
Считает действия входа на каждом устройстве.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Устройства с более чем 10 логинами
Подсчитывает события входа на устройства с более чем 10 логинами.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Заблокированные антивирусные учетные записи
Учетные записи, для которых была завершена работа антивируса Microsoft.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Устройства с отключенной антивирусной защитой
Устройства, которые отключили антивирусную программу Майкрософт.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Устройства, на которых был выполнен хэш
Устройства, на которых hash.exe выполнялись более 5 раз.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Названия запущенных процессов
Перечисляет количество запусков на процесс.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Устройства с очищенным журналом безопасности
Устройства с очищенным журналом безопасности.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Активность входа по учетным записям
Активность входа по учетным записям.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Учетные записи с количеством входов менее 5 раз
Активность входа в систему для учетных записей с менее чем 5 входами.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Удаленные учетные записи с журналами на устройствах
Удаленные учетные записи, зарегистрированные на определенном устройстве.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Компьютеры с учетными записями гостей
Компьютеры с входами из гостевых учетных записей.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Участники, добавленные в группы с поддержкой безопасности
Члены, добавленные в группы с включенной безопасностью.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Изменения политики безопасности домена
Подсчитывает события изменения политики домена.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Изменения политики аудита системы
Политика аудита системы изменила события на компьютере.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Подозрительные исполняемые файлы
Перечисляет подозрительные исполняемые файлы.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Вход с помощью пароля с четким текстом
Входы с открытым текстовым паролем для целевой учетной записи.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Компьютеры с очищенными журналами событий
Компьютеры с чистыми журналами событий.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Не удалось выполнить вход в учетные записи
Количество неудачных входов в систему по целевой учетной записи.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Заблокированные учетные записи
Подсчет заблокированных счетов по целевой учетной записи.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Попытки изменения или сброса паролей
Количество попыток изменения и сброса паролей на одну целевую учетную запись.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Созданные или измененные группы
Группы, созданные или измененные для каждой целевой учетной записи.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Попытки удаленного вызова процедуры
Подсчитывает попытки удаленного вызова процедуры на компьютере.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Изменены учетные записи пользователей
Подсчитывает изменения учетной записи пользователя для каждой целевой учетной записи.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount