Verwalten der Syslog-Weiterleitung für Azure Stack HCI

Gilt für: Azure Stack HCI, Version 23H2

In diesem Artikel wird beschrieben, wie Sie Sicherheitsereignisse konfigurieren, die mithilfe des Syslog-Protokolls für Azure Stack HCI, Version 23H2 (Vorschauversion) an ein vom Kunden verwaltetes SIEM-System (Security Information and Event Management) weitergeleitet werden.

Verwenden Sie die Syslog-Weiterleitung, um in Sicherheitsüberwachungslösungen zu integrieren und relevante Sicherheitsereignisprotokolle abzurufen, um sie für die Aufbewahrung auf Ihrer eigenen SIEM-Plattform zu speichern. Weitere Informationen zu Sicherheitsfeatures in dieser Version finden Sie unter Sicherheitsfeatures für Azure Stack HCI, Version 23H2 (Vorschauversion).

Konfigurieren der Syslog-Weiterleitung

Syslog-Weiterleitungs-Agents werden standardmäßig auf jedem Azure Stack HCI-Host bereitgestellt und können konfiguriert werden. Jeder der Agents leitet Sicherheitsereignisse im Syslog-Format vom Host an den vom Kunden konfigurierten Syslog-Server weiter.

Syslog-Weiterleitungs-Agents arbeiten unabhängig voneinander, können aber alle zusammen auf einem der Hosts verwaltet werden. Verwenden Sie PowerShell-Cmdlets mit Administratorrechten auf jedem Host, um das Verhalten aller Weiterleitungs-Agents zu steuern.

Die Syslog-Weiterleitung in Azure Stack HCI unterstützt die folgenden Konfigurationen:

• Syslog-Weiterleitung mit TCP, gegenseitige Authentifizierung (Client und Server) und TLS 1.2-Verschlüsselung: In dieser Konfiguration überprüfen sowohl der Syslog-Server als auch der Syslog-Client die Identität gegenseitig über Zertifikate. Nachrichten werden über einen TLS 1.2-verschlüsselten Kanal gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit TCP, gegenseitige Authentifizierung (Client und Server) und TLS 1.2-Verschlüsselung.

• Syslog-Weiterleitung mit TCP, Serverauthentifizierung und TLS 1.2-Verschlüsselung: In dieser Konfiguration überprüft der Syslog-Client die Identität des Syslog-Servers über ein Zertifikat. Nachrichten werden über einen TLS 1.2-verschlüsselten Kanal gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit TCP, Serverauthentifizierung und TLS 1.2-Verschlüsselung.

• Syslog-Weiterleitung mit TCP und ohne Verschlüsselung: In dieser Konfiguration werden die Syslog-Client- und syslog-Serveridentitäten nicht überprüft. Nachrichten werden als Klartext über TCP gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit TCP und ohne Verschlüsselung.

• Syslog mit UDP und ohne Verschlüsselung: In dieser Konfiguration werden die Syslog-Client- und syslog-Serveridentitäten nicht überprüft. Nachrichten werden als Klartext über UDP gesendet. Weitere Informationen finden Sie unter Syslog-Weiterleitung mit UDP und ohne Verschlüsselung.

  Wichtig

  Zum Schutz vor Man-in-the-Middle-Angriffen und Lauschangriffen von Nachrichten empfiehlt Microsoft dringend die Verwendung von TCP mit Authentifizierung und Verschlüsselung in Produktionsumgebungen.

Cmdlets zum Konfigurieren der Syslog-Weiterleitung

Das Konfigurieren der Syslog-Weiterleitung erfordert Zugriff auf den physischen Host mithilfe eines Domänenadministratorkontos. Allen Azure Stack HCI-Hosts wurde eine Reihe von PowerShell-Cmdlets hinzugefügt, um das Verhalten der Syslog-Weiterleitung zu steuern.

Das Set-AzSSyslogForwarder Cmdlet wird verwendet, um die Syslog-Weiterleitungskonfiguration für alle Hosts festzulegen. Bei erfolgreicher Ausführung wird ein Aktionsplan instance gestartet, um die Syslog-Weiterleitungs-Agents auf allen Hosts zu konfigurieren. Der Aktionsplan instance ID wird zurückgegeben.

Verwenden Sie das folgende Cmdlet, um die Syslog-Serverinformationen an die Weiterleitung zu übergeben und das Transportprotokoll, die Verschlüsselung, die Authentifizierung und das optionale Zertifikat zu konfigurieren, das zwischen Client und Server verwendet wird:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Cmdlet-Parameter

Die folgende Tabelle enthält Parameter für das Set-AzSSyslogForwarder Cmdlet:

Parameter	BESCHREIBUNG	Typ	Erforderlich
ServerName	FQDN oder IP-Adresse des Syslog-Servers	String	Ja
ServerPort	Portnummer, an der der Syslog-Server lauscht	UInt16	Ja
NoEncryption	Erzwingen, dass der Client Syslog-Meldungen in Klartext sendet	Flag	No
SkipServerCertificateCheck	Überspringen der Überprüfung des vom Syslog-Server beim ersten TLS-Handshake bereitgestellten Zertifikats	Flag	No
SkipServerCNCheck	Überspringen der Überprüfung des Werts für den allgemeinen Namen des vom Syslog-Server beim ersten TLS-Handshake bereitgestellten Zertifikats	Flag	Nein
UseUDP	Verwenden von Syslog mit UDP als Transportprotokoll	Flag	No
ClientCertificateThumbprint	Fingerabdruck des Clientzertifikats, das für die Kommunikation mit dem Syslog-Server verwendet wird.	String	Nein
OutputSeverity	Ebene des Ausgabeprotokollierung. Werte sind Standard oder Ausführlich. „Standard“ umfasst die Schweregrade „Warnung“, „Kritisch“ oder „Fehler“. „Ausführlich“ umfasst alle Schweregrade („Ausführlich“, „Information“, „Warnung“, „Kritisch“ oder „Fehler“).	String	Nein
Entfernen	Entfernen Sie die aktuelle Syslog-Weiterleitungskonfiguration, und beenden Sie die Syslog-Weiterleitung.	Flag	No

Syslog-Weiterleitung mit TCP, gegenseitige Authentifizierung (Client und Server) und TLS 1.2-Verschlüsselung

In dieser Konfiguration leitet der Syslog-Client in Azure Stack HCI Nachrichten über TCP mit TLS 1.2-Verschlüsselung an den Syslog-Server weiter. Während des anfänglichen Handshakes überprüft der Client, ob der Server ein gültiges und vertrauenswürdiges Zertifikat bereitstellt. Der Client stellt dem Server außerdem ein Zertifikat als Nachweis seiner Identität bereit.

Diese Konfiguration ist die sicherste, da sie eine vollständige Überprüfung der Identität sowohl des Clients als auch des Servers ermöglicht und Nachrichten über einen verschlüsselten Kanal sendet.

Wichtig

Microsoft empfiehlt, diese Konfiguration für Produktionsumgebungen zu verwenden.

Konfigurieren Sie zum Konfigurieren der Syslog-Weiterleitung mit TCP, gegenseitiger Authentifizierung und TLS 1.2-Verschlüsselung den Server, und stellen Sie dem Client ein Zertifikat zur Authentifizierung beim Server bereit.

Führen Sie das folgende Cmdlet für einen physischen Host aus:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Wichtig

Das Clientzertifikat muss einen privaten Schlüssel enthalten. Wenn das Clientzertifikat mit einem selbstsignierten Stammzertifikat signiert ist, müssen Sie auch das Stammzertifikat importieren.

Syslog-Weiterleitung mit TCP, Serverauthentifizierung und TLS 1.2-Verschlüsselung

In dieser Konfiguration leitet die Syslog-Weiterleitung in Azure Stack HCI die Nachrichten über TCP mit TLS 1.2-Verschlüsselung an den Syslog-Server weiter. Während des anfänglichen Handshakes überprüft der Client auch, dass der Server ein gültiges und vertrauenswürdiges Zertifikat bereitstellt.

Diese Konfiguration verhindert, dass der Client Meldungen an nicht vertrauenswürdige Ziele sendet. TCP mit Authentifizierung und Verschlüsselung ist die Standardkonfiguration und stellt die minimale Sicherheitsebene dar, die Microsoft für eine Produktionsumgebung empfiehlt.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Wenn Sie die Integration Ihres Syslog-Servers mit der Azure Stack HCI-Syslogweiterleitung mithilfe eines selbstsignierten oder nicht vertrauenswürdigen Zertifikats testen möchten, verwenden Sie diese Flags, um die Serverüberprüfung zu überspringen, die der Client während des ersten Handshakes durchgeführt hat.

1. Überspringen Sie die Überprüfung des Common Name-Werts im Serverzertifikat. Verwenden Sie dieses Flag, wenn Sie eine IP-Adresse für Ihren Syslog-Server angeben.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Überspringen Sie die Überprüfung des Serverzertifikats.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Wichtig

   Microsoft empfiehlt, das -SkipServerCertificateCheck Flag nicht in Produktionsumgebungen zu verwenden.

Syslog-Weiterleitung mit TCP und ohne Verschlüsselung

In dieser Konfiguration leitet der syslog-Client in Azure Stack HCI Nachrichten ohne Verschlüsselung über TCP an den Syslog-Server weiter. Der Client überprüft weder die Identität des Servers noch stellt er eine eigene Identität für den Server zur Überprüfung bereit.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Wichtig

Microsoft empfiehlt, diese Konfiguration nicht in Produktionsumgebungen zu verwenden.

Syslog-Weiterleitung mit UDP und ohne Verschlüsselung

In dieser Konfiguration leitet der syslog-Client in Azure Stack HCI Nachrichten ohne Verschlüsselung über UDP an den Syslog-Server weiter. Der Client überprüft weder die Identität des Servers noch stellt er eine eigene Identität für den Server zur Überprüfung bereit.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

UDP ohne Verschlüsselung ist zwar am einfachsten zu konfigurieren, bietet aber keinen Schutz vor Man-in-the-Middle-Angriffen oder Abhören von Nachrichten.

Wichtig

Microsoft empfiehlt, diese Konfiguration nicht in Produktionsumgebungen zu verwenden.

Aktivieren der Syslog-Weiterleitung

Führen Sie das folgende Cmdlet aus, um die Syslogweiterleitung zu aktivieren:

Enable-AzSSyslogForwarder [-Force]

Die Syslog-Weiterleitung wird mit der gespeicherten Konfiguration aktiviert, die vom letzten erfolgreichen Set-AzSSyslogForwarder Aufruf bereitgestellt wurde. Das Cmdlet schlägt fehl, wenn keine Konfiguration mit Set-AzSSyslogForwarderbereitgestellt wurde.

Deaktivieren der Syslog-Weiterleitung

Führen Sie das folgende Cmdlet aus, um die Syslogweiterleitung zu deaktivieren:

Disable-AzSSyslogForwarder [-Force] 

Parameter für Enable-AzSSyslogForwarder und Disable-AzSSyslogForwarder Cmdlets:

Parameter	BESCHREIBUNG	Typ	Erforderlich
Force	Wenn angegeben, wird ein Aktionsplan immer ausgelöst, auch wenn der Zielzustand mit dem aktuellen identisch ist. Dies kann hilfreich sein, um Out-of-Band-Änderungen zurückzusetzen.	Flag	No

Überprüfen des Syslog-Setups

Nachdem Sie den syslog-Client erfolgreich mit Ihrem syslog-Server verbunden haben, erhalten Sie Ereignisbenachrichtigungen. Wenn keine Benachrichtigungen angezeigt werden, überprüfen Sie die Konfiguration der Cluster-Syslog-Weiterleitung, indem Sie das folgende Cmdlet ausführen:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Jeder Host verfügt über einen eigenen Syslog-Weiterleitungs-Agent, der eine lokale Kopie der Clusterkonfiguration verwendet. Es wird immer erwartet, dass sie mit der Clusterkonfiguration identisch sind. Sie können die aktuelle Konfiguration auf jedem Host überprüfen, indem Sie das folgende Cmdlet verwenden:

Get-AzSSyslogForwarder -PerNode 

Sie können auch das folgende Cmdlet verwenden, um die Konfiguration auf dem Host zu überprüfen, mit dem Sie verbunden sind:

Get-AzSSyslogForwarder -Local

Cmdletparameter für das Get-AzSSyslogForwarder Cmdlet:

Parameter	BESCHREIBUNG	Typ	Erforderlich
Lokal	Zeigt die aktuell verwendete Konfiguration auf dem aktuellen Host an.	Flag	No
PerNode	Zeigt die aktuell verwendete Konfiguration auf jedem Host an.	Flag	No
Cluster	Anzeigen der aktuellen globalen Konfiguration in Azure Stack HCI Dies ist das Standardverhalten, wenn kein Parameter angegeben wird.	Flag	No

Entfernen der syslog-Weiterleitung

Führen Sie den folgenden Befehl aus, um die Syslog-Weiterleitungskonfiguration zu entfernen und die syslog-Weiterleitung zu beenden:

Set-AzSSyslogForwarder -Remove 

Referenz zu Nachrichtenschema und Ereignisprotokoll

Das folgende Referenzmaterial dokumentiert Syslog-Nachrichtenschema- und Ereignisdefinitionen.

Syslog-Meldungsschema

Die Syslog-Weiterleitung der Azure Stack HCI-Infrastruktur sendet Nachrichten, die nach dem in RFC3164 definierten BSD-Syslog-Protokoll formatiert sind. CEF wird auch zum Formatieren der Syslog-Nachrichtennutzlast verwendet.

Jede Syslog-Nachricht wird basierend auf diesem Schema strukturiert: Priority (PRI) | Zeit | Host | CEF-Nutzlast |

Der PRI-Teil enthält zwei Werte: Einrichtung und Schweregrad. Beide hängen vom Typ der Nachricht ab, z. B. Windows-Ereignis usw.

Nutzlastschema/Definitionen des allgemeinen Ereignisformats

Die CEF-Nutzlast (Common Event Format) basiert auf der folgenden Struktur. Die Zuordnung für jedes Feld variiert je nach Nachrichtentyp, z. B. Windows-Ereignis usw.

CEF: |Version | Gerätehersteller | Geräteprodukt | Geräteversion | Signatur-ID | Name | Schweregrad | Erweiterungen |

• Version: 0.0
• Gerätehersteller: Microsoft
• Geräteprodukt: Microsoft Azure Stack HCI
• Geräteversion: 1.0

Windows-Ereigniszuordnung und Beispiele

Alle Windows-Ereignisse verwenden den PRI-Facility-Wert 10.

• Signatur-ID: ProviderName:EventID
• Name: TaskName
• Schweregrad: Ebene. Ausführliche Informationen finden Sie in der folgenden Tabelle zum Schweregrad.
• Erweiterung: Benutzerdefinierter Erweiterungsname. Details finden Sie in der folgenden Tabelle.

Schweregrad von Windows-Ereignissen

PRI-Schweregrad	CEF-Schweregradwert	Windows-Ereignisebene	MasLevel-Wert (in der Erweiterung)
7	0	Nicht definiert	Wert: 0. Gibt Protokolle auf allen Ebenen an.
2	10	Kritisch	Wert: 1. Gibt Protokolle für eine kritische Warnung an.
3	8	Fehler	Wert: 2. Gibt Protokolle für einen Fehler an.
4	5	Warnung	Wert: 3. Gibt Protokolle für eine Warnung an.
6	2	Information	Wert: 4. Gibt Protokolle für eine Informationsmeldung an.
7	0	Ausführlich	Wert: 5. Gibt Protokolle für eine ausführliche Nachricht an.

Benutzerdefinierte Erweiterungen und Windows-Ereignisse in Azure Stack HCI

Name der benutzerdefinierten Erweiterung	Windows-Ereignisses.
MasChannel	System
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription	Die Gruppenrichtlinieneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Seit der letzten erfolgreichen Verarbeitung der Gruppenrichtlinie wurden keine Änderungen erkannt.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Überprüfung erfolgreich
MasLevel	4
MasOpcode	1
MasOpcodeName	info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Prozesserstellung
MasUserData	KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Verschiedene Ereignisse

Verschiedene Ereignisse, die weitergeleitet werden. Diese Ereignisse können nicht angepasst werden.

Ereignistyp	Ereignisabfrage
Wireless Lan 802.1x-Authentifizierungsereignisse mit Peer-MAC-Adresse	query="Security!*[System[(EventID=5632)]]"
Neuer Dienst (4697)	query="Security!*[System[(EventID=4697)]]"
ERNEUTE VERBINDUNG der TS-Sitzung (4778), Trennung von TS-Sitzungen (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]]"
Netzwerkfreigabeobjektzugriff ohne IPC$ und Netlogon-Freigaben	query="Security! [System[(EventID=5140)] und EventData[Data[@Name='ShareName']!='\\IPC$'] und EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Systemzeitänderung (4616)	query="Security!*[System[(EventID=4616)]]"
Lokale Anmeldungen ohne Netzwerk- oder Dienstereignisse	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]"
Sicherheitsprotokoll gelöschte Ereignisse (1102), Herunterfahren des EventLog-Diensts (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]]"
Benutzerinitiierte Abmeldung	query="Security!*[System[(EventID=4647)]]"
Benutzeranmeldung für alle Nicht-Netzwerkanmeldungssitzungen	query="Security!*[System[(EventID=4634)] und EventData[Data[@Name='LogonType'] != '3']]"
Dienstanmeldungsereignisse, wenn das Benutzerkonto nicht LocalSystem, NetworkService, LocalService ist	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-1 8'] und EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] und EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
Network Share create (5142), Network Share Delete (5144)	query="Security!*[System[(EventID=5142 or EventID=5144)]]"
Prozesserstellung (4688)	query="Security!*[System[EventID=4688]]"
Ereignisprotokolldienstereignisse, die für den Sicherheitskanal spezifisch sind	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Spezielle Berechtigungen (Admin-äquivalenter Zugriff), die der neuen Anmeldung zugewiesen sind, ausgenommen LocalSystem	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]"
Neuer Benutzer, der einer lokalen, globalen oder universellen Sicherheitsgruppe hinzugefügt wurde	query="Security!*[System[(EventID=4732 or EventID=4728 or EventID=4756)]]"
Benutzer, der aus der lokalen Gruppe "Administratoren" entfernt wurde	query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]"
Zertifikatdienste haben zertifikatsanforderung empfangen (4886), Genehmigt und ausgestelltes Zertifikat (4887), Abgelehnte Anforderung (4888)	query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]"
Neues Benutzerkonto erstellt(4720), Benutzerkonto aktiviert (4722), Benutzerkonto deaktiviert (4725), Benutzerkonto gelöscht (4726)	query="Security!*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]]"
Anti-Malware-Alte Ereignisse, aber nur Ereignisse erkennen (reduziert Rauschen)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] und (EventID >= 1116 und EventID <= 1119)]]"
Systemstart (12 – einschließlich BETRIEBSSYSTEM/SP/Version) und Herunterfahren	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] und (EventID=12 oder EventID=13)]]"
Dienstinstallation (7000), Dienststartfehler (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] und (EventID = 7000 oder EventID=7045)]]"
Herunterfahren initiiert Anforderungen mit Benutzer, Prozess und Grund (falls angegeben)	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]"
Ereignisprotokolldienstereignisse	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Andere gelöschte Ereignisse im Protokoll (104)	query="System!*[System[(EventID=104)]]"
EMET/Exploit-Schutzereignisse	query="Application!*[System[Provider[@Name='EMET']]]"
WER-Ereignisse nur für Anwendungsabstürze	query="Application!*[System[Provider[@Name='Windows-Fehlerberichterstattung']] and EventData[Data[3]='APPCRASH']]"
Benutzer, der sich mit temporärem Profil (1511) anmeldet, kann kein Profil mithilfe eines temporären Profils erstellen (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] und (EventID=1511 or EventID=1518)]]"
Absturz-/Hängenbleiben von Anwendungen, ähnlich wie WER/1001. Dazu gehören der vollständige Pfad zum fehlerhaften EXE/Modul.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]]"
Taskplaner Task Registered (106), Task Registration Deleted (141), Task Deleted (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]"
AppLocker-gepackte (moderne UI)-App-Ausführung	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
AppLocker-gepackte (Moderne UI)-App-Installation	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Protokollieren der versuchten TS-Verbindung mit dem Remoteserver	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Ruft alle CHV-Ereignisse (Smart-Karte Card-Holder Verification) (Erfolg und Fehler) ab, die auf dem Host ausgeführt werden.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Ruft die erfolgreiche Verbindung aller UNC/zugeordneten Laufwerke ab.	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 or EventID=30624)]]"
Moderner SysMon-Ereignisanbieter	query="Microsoft-Windows-Sysmon/Operational!*"
Moderne Windows Defender Ereignisanbietererkennungsereignisse (1006-1009) und (1116-1119); plus (5001,5010,5012) Req'd von Kunden	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 and EventID <= 1009) or (EventID >= 1116 and EventID <= 1119) or (EventID = 5001 or EventID = 5010 or EventID = 5012) )]]"
Codeintegritätsereignisse	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and (EventID=3076 or EventID=3077)]]"
Ca Stop/Start events CA Service Stopped (4880), CA Service Started (4881), CA DB row(s) deleted (4896), CA Template loaded (4898)	query="Security!*[System[(EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898)]]"
RRAS-Ereignisse – nur auf dem Microsoft IAS-Server generiert	query="Security!*[System[( (EventID >= 6272 und EventID <= 6280) )]]"
Prozessende (4689)	query="Security!*[System[(EventID = 4689)]]"
Geänderte Ereignisse der Registrierung für Vorgänge: Neuer Registrierungswert erstellt (%%1904), Vorhandener Registrierungswert geändert (%%1905), Gelöschter Registrierungswert (%%1906)	query="Security!*[System[(EventID=4657)] und (EventData[Data[@Name='OperationType'] = '%%1904'] or EventData[Data[@Name='OperationType'] = '%%1905'] or EventData[Data[@Name='OperationType'] = '%%1906']]]"
Anforderung zur Authentifizierung beim Drahtlosen Netzwerk (einschließlich Peer MAC (5632))	query="Security!*[System[(EventID=5632)]]"
Ein neues externes Gerät wurde vom System erkannt(6416)	query="Security!*[System[(EventID=6416)]]"
RADIUS-Authentifizierungsereignisse Vom Benutzer zugewiesene IP-Adresse (20274), Benutzer erfolgreich authentifiziert (20250), Benutzer getrennt (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]]"
BUILD CHAIN für CAPI-Ereignisse (11), Zugriff auf private Schlüssel (70), X509-Objekt (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 or EventID=70 or EventID=90)]]"
Gruppen, die der neuen Anmeldung zugewiesen sind (mit Ausnahme bekannter integrierter Konten)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] und EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] und EventData[Data [@Name='TargetUserSid'] != 'S-1-5-18'] und EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
DNS-Clientereignisse	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] und EventData[Data[@Name='QueryOptions'] != '140737488355328'] und EventData[Data[@Name='QueryResults']=']]"
Erkennen User-Mode geladenen Treiber für die potenzielle BadUSB-Erkennung.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Details zur Ausführung der Legacy-PowerShell-Pipeline (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
Beendete Defender-Ereignisse	query="System!*[System[(EventID=7036)] und EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] und EventData[Data[@Name='param2']='stopped']]"
BitLocker-Verwaltungsereignisse	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Nächste Schritte

Weitere Informationen:

• Sicherheitsbaselineeinstellungen für Azure Stack HCI.
• Windows Defender Anwendungssteuerung für Azure Stack HCI.
• BitLocker für Azure Stack HCI.