Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Informace o používání těchto dotazů na webu Azure Portal najdete v kurzu služby Log Analytics. Informace o rozhraní REST API najdete v tématu Dotaz.
Nejčastější ID bezpečnostních událostí
Tento dotaz zobrazí seznam sestupně seřazený podle množství zpracovaných událostí pro každé ID události pro auditing zabezpečení.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Noví členové přidáni do bezpečnostních skupin
Kdo byl přidán do skupiny s podporou zabezpečení za poslední den?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Použití hesla s prostým textem
Vypsat seznam všech účtů, které se přihlásily pomocí hesla v čitelné podobě během posledního dne.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Neúspěšná přihlášení do Windows
Vyhledejte zprávy Windows účtů, které se nepodařilo přihlásit.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Všechny aktivity zabezpečení
Aktivity zabezpečení seřazené podle času (nejnovější jako první)
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Aktivity zabezpečení na zařízení
Aktivity zabezpečení na konkrétním zařízení seřazené podle času (nejnovější jako první)
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Aktivity zabezpečení pro správce
Aktivity zabezpečení na konkrétním zařízení pro správce seřazené podle času (nejnovější jako první)
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Aktivita přihlášení podle zařízení
Počítá aktivity přihlášení pro každé zařízení.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Zařízení s více než 10 přihlášeními
Počítá přihlašovací aktivity na zařízeních, která mají více než 10 přihlášení.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Účty ukončené v souvislosti s antimalwarem
Účty, které ukončily Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Zařízení s ukončenou ochranou antimalware
Zařízení, která ukončila Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Zařízení, na kterých byl proveden hash
Zařízení, kde hash.exe byla provedena více než 5krát.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Názvy procesů spuštěny
Zobrazuje počet spuštění pro každý proces.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Zařízení s vymazaným protokolem zabezpečení
Zařízení s vymazaným protokolem zabezpečení.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Aktivita přihlášení podle účtu
Aktivita přihlášení podle účtu.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Účty s méně než 5násobným přihlášením
Aktivita přihlášení pro účty s méně než 5 přihlášeními
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Vzdálené protokolované účty na zařízeních
Vzdáleně přístupné účty na určitém zařízení.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Počítače s přihlášeními k účtu hosta
Počítače s přihlášeními z účtů hostů.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Členové přidaní do skupin s podporou zabezpečení
Členové přidaní do skupin se zapnutým zabezpečením
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Změny zásad zabezpečení domény
Počet událostí změny zásad domény.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Změny zásad auditování systému
Zásady auditu systému zaznamenaly změny událostí podle počítače.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Podezřelé spustitelné soubory
Zobrazí seznam podezřelých spustitelných souborů.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Přihlášení s heslem v otevřeném textu
Přihlašování s heslem v otevřeném textu podle cílového účtu.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Počítače s vyčištěnými protokoly událostí
Počítače s vyčištěnými protokoly událostí.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Přihlášení účtů se nezdařilo
Počítá neúspěšná přihlášení podle cílového účtu.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Uzamčené účty
Počítá uzamčené účty podle cílového účtu.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Změna nebo resetování pokusů o heslo
Počítá pokusy o změnu nebo resetování hesel na cílový účet.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Vytvořené nebo změněné skupiny
Skupiny vytvořené nebo upravené podle cílového účtu
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Pokusy o volání vzdálené procedury
Počítá pokusy o volání vzdálené procedury na počítači.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Změněné uživatelské účty
Počítá změny uživatelského účtu pro každý cílový účet.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount