Mengelola penerusan syslog untuk Azure Stack HCI

Berlaku untuk: Azure Stack HCI, versi 23H2

Artikel ini menjelaskan cara mengonfigurasi peristiwa keamanan untuk diteruskan ke sistem informasi keamanan dan manajemen peristiwa (SIEM) yang dikelola pelanggan menggunakan protokol syslog untuk Azure Stack HCI, versi 23H2 (pratinjau).

Gunakan penerusan syslog untuk berintegrasi dengan solusi pemantauan keamanan dan untuk mengambil log peristiwa keamanan yang relevan untuk menyimpannya untuk retensi di platform SIEM Anda sendiri. Untuk informasi selengkapnya tentang fitur keamanan dalam rilis ini, lihat Fitur keamanan untuk Azure Stack HCI, versi 23H2 (pratinjau).

Mengonfigurasi penerusan syslog

Agen penerusan Syslog disebarkan pada setiap host Azure Stack HCI secara default, siap dikonfigurasi. Masing-masing agen akan meneruskan peristiwa keamanan dalam format syslog dari host ke server syslog yang dikonfigurasi pelanggan.

Agen penerusan Syslog bekerja secara independen satu sama lain tetapi dapat dikelola bersama-sama pada salah satu host. Gunakan cmdlet PowerShell dengan hak administratif pada host apa pun untuk mengontrol perilaku semua agen penerus.

Penerus syslog di Azure Stack HCI mendukung konfigurasi berikut:

• Penerusan Syslog dengan TCP, autentikasi timbal balik (klien dan server), dan enkripsi TLS 1.2: Dalam konfigurasi ini, server syslog dan klien syslog memverifikasi identitas satu sama lain melalui sertifikat. Pesan dikirim melalui saluran terenkripsi TLS 1.2. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan TCP, autentikasi timbal balik (klien dan server), dan enkripsi TLS 1.2.

• Penerusan Syslog dengan TCP, autentikasi server, dan enkripsi TLS 1.2: Dalam konfigurasi ini, klien syslog memverifikasi identitas server syslog melalui sertifikat. Pesan dikirim melalui saluran terenkripsi TLS 1.2. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan TCP, autentikasi server, dan enkripsi TLS 1.2.

• Penerusan Syslog dengan TCP dan tanpa enkripsi: Dalam konfigurasi ini, identitas server syslog dan klien syslog tidak diverifikasi. Pesan dikirim dalam teks yang jelas melalui TCP. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan TCP dan tanpa enkripsi.

• Syslog dengan UDP dan tanpa enkripsi: Dalam konfigurasi ini, identitas server syslog dan klien syslog tidak diverifikasi. Pesan dikirim dalam teks yang jelas melalui UDP. Untuk informasi selengkapnya, lihat Penerusan Syslog dengan UDP dan tanpa enkripsi.

  Penting

  Untuk melindungi dari serangan man-in-the-middle dan penyadapan pesan, Microsoft sangat menyarankan Agar Anda menggunakan TCP dengan autentikasi dan enkripsi di lingkungan produksi.

Cmdlet untuk mengonfigurasi penerusan syslog

Mengonfigurasi penerus syslog memerlukan akses ke host fisik menggunakan akun administrator domain. Satu set cmdlet PowerShell telah ditambahkan ke semua host Azure Stack HCI untuk mengontrol perilaku penerus syslog.

Set-AzSSyslogForwarder Cmdlet digunakan untuk mengatur konfigurasi penerus syslog untuk semua host. Jika berhasil, instans rencana tindakan akan mulai mengonfigurasi agen penerus syslog di semua host. ID instans rencana tindakan akan dikembalikan.

Gunakan cmdlet berikut untuk meneruskan informasi server syslog ke penerus dan untuk mengonfigurasi protokol transportasi, enkripsi, autentikasi, dan sertifikat opsional yang digunakan antara klien dan server:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parameter cmdlet

Tabel berikut ini menyediakan parameter untuk Set-AzSSyslogForwarder cmdlet :

Parameter	Deskripsi	Jenis	Diperlukan
ServerName	FQDN atau alamat IP dari server syslog.	String	Ya
ServerPort	Nomor port yang didengarkan oleh server syslog.	UInt16	Ya
NoEncryption	Memaksa klien untuk mengirim pesan syslog dalam teks yang jelas.	Bendera	Tidak
SkipServerCertificateCheck	Melewati validasi sertifikat yang disediakan oleh server syslog selama handshake TLS awal.	Bendera	Tidak
SkipServerCNCheck	Melewati validasi nilai Nama Umum dari sertifikat yang disediakan oleh server syslog selama handshake TLS awal.	Bendera	Tidak
UseUDP	Menggunakan syslog dengan UDP sebagai protokol transport.	Bendera	Tidak
ClientCertificateThumbprint	Thumbprint sertifikat klien yang digunakan untuk berkomunikasi dengan server syslog.	String	Tidak
OutputSeverity	Tingkat output pengelogan. Nilai adalah Default atau Verbose. Default mencakup tingkat keparahan: peringatan, kritis, atau kesalahan. Verbose mencakup semua tingkat keparahan: verbose, informasi, peringatan, kritis, atau kesalahan.	String	Tidak
Hapus	Hapus konfigurasi penerus syslog saat ini dan hentikan penerus syslog.	Bendera	Tidak

Penerusan Syslog dengan TCP, autentikasi timbal balik (klien dan server), dan enkripsi TLS 1.2

Dalam konfigurasi ini, klien syslog di Azure Stack HCI meneruskan pesan ke server syslog melalui TCP dengan enkripsi TLS 1.2. Selama handshake awal, klien memverifikasi bahwa server menyediakan sertifikat yang valid dan tepercaya. Klien juga memberikan sertifikat ke server sebagai bukti identitasnya.

Konfigurasi ini adalah yang paling aman karena memberikan validasi penuh identitas klien dan server, dan mengirim pesan melalui saluran terenkripsi.

Penting

Microsoft menyarankan agar Anda menggunakan konfigurasi ini untuk lingkungan produksi.

Untuk mengonfigurasi penerus syslog dengan enkripsi TCP, autentikasi timbal balik, dan TLS 1.2, konfigurasikan server dan berikan sertifikat kepada klien untuk mengautentikasi terhadap server.

Jalankan cmdlet berikut terhadap host fisik:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Penting

Sertifikat klien harus berisi kunci privat. Jika sertifikat klien ditandatangani menggunakan sertifikat akar yang ditandatangani sendiri, Anda juga harus mengimpor sertifikat akar.

Penerusan Syslog dengan TCP, autentikasi server, dan enkripsi TLS 1.2

Dalam konfigurasi ini, penerus syslog di Azure Stack HCI meneruskan pesan ke server syslog melalui TCP dengan enkripsi TLS 1.2. Selama jabat tangan awal, klien juga memverifikasi bahwa server menyediakan sertifikat yang valid dan tepercaya.

Konfigurasi ini mencegah klien mengirim pesan ke tujuan yang tidak tepercaya. TCP menggunakan autentikasi dan enkripsi adalah konfigurasi default dan mewakili tingkat keamanan minimum yang direkomendasikan Microsoft untuk lingkungan produksi.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Jika Anda ingin menguji integrasi server syslog Anda dengan penerus syslog Azure Stack HCI dengan menggunakan sertifikat yang ditandatangani sendiri atau tidak tepercaya, gunakan bendera ini untuk melewati validasi server yang dilakukan oleh klien selama jabat tangan awal.

1. Lewati validasi nilai Nama Umum dalam sertifikat server. Gunakan bendera ini jika Anda memberikan alamat IP untuk server syslog Anda.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Lewati validasi sertifikat server.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Penting

   Microsoft menyarankan agar Anda tidak menggunakan -SkipServerCertificateCheck bendera di lingkungan produksi.

Penerusan Syslog dengan TCP dan tanpa enkripsi

Dalam konfigurasi ini, klien syslog di Azure Stack HCI meneruskan pesan ke server syslog melalui TCP tanpa enkripsi. Klien tidak memverifikasi identitas server, juga tidak memberikan identitasnya sendiri ke server untuk verifikasi.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Penting

Microsoft menyarankan agar Anda tidak menggunakan konfigurasi ini di lingkungan produksi.

Penerusan Syslog dengan UDP dan tanpa enkripsi

Dalam konfigurasi ini, klien syslog di Azure Stack HCI meneruskan pesan ke server syslog melalui UDP, tanpa enkripsi. Klien tidak memverifikasi identitas server, juga tidak memberikan identitasnya sendiri ke server untuk verifikasi.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Meskipun UDP tanpa enkripsi adalah yang paling mudah dikonfigurasi, UDP tidak memberikan perlindungan terhadap serangan man-in-the-middle atau menguping pesan.

Penting

Microsoft menyarankan agar Anda tidak menggunakan konfigurasi ini di lingkungan produksi.

Mengaktifkan penerusan syslog

Jalankan cmdlet berikut untuk mengaktifkan penerusan syslog:

Enable-AzSSyslogForwarder [-Force]

Penerus Syslog akan diaktifkan dengan konfigurasi tersimpan yang disediakan oleh panggilan terakhir yang berhasil Set-AzSSyslogForwarder . Cmdlet akan gagal jika tidak ada konfigurasi yang disediakan menggunakan Set-AzSSyslogForwarder.

Menonaktifkan penerusan syslog

Jalankan cmdlet berikut untuk menonaktifkan penerusan syslog:

Disable-AzSSyslogForwarder [-Force] 

Parameter untuk Enable-AzSSyslogForwarder cmdlet dan Disable-AzSSyslogForwarder :

Parameter	Deskripsi	Jenis	Diperlukan
Force	Jika ditentukan, rencana tindakan akan selalu dipicu meskipun status target sama dengan saat ini. Ini dapat membantu untuk mengatur ulang perubahan out-of-band.	Bendera	Tidak

Memverifikasi penyiapan syslog

Setelah Berhasil menyambungkan klien syslog ke server syslog, Anda akan mulai menerima pemberitahuan peristiwa. Jika Anda tidak melihat pemberitahuan, verifikasi konfigurasi penerus syslog kluster Anda dengan menjalankan cmdlet berikut:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Setiap host memiliki agen penerus syslog sendiri yang menggunakan salinan lokal konfigurasi kluster. Mereka selalu diharapkan sama dengan konfigurasi kluster. Anda dapat memverifikasi konfigurasi saat ini pada setiap host dengan menggunakan cmdlet berikut:

Get-AzSSyslogForwarder -PerNode 

Anda juga dapat menggunakan cmdlet berikut untuk memverifikasi konfigurasi pada host yang tersambung dengan Anda:

Get-AzSSyslogForwarder -Local

Parameter cmdlet untuk Get-AzSSyslogForwarder cmdlet:

Parameter	Deskripsi	Jenis	Diperlukan
Lokal	Tampilkan konfigurasi yang saat ini digunakan pada host saat ini.	Bendera	Tidak
PerNode	Tampilkan konfigurasi yang saat ini digunakan pada setiap host.	Bendera	Tidak
Kluster	Tampilkan konfigurasi global saat ini di Azure Stack HCI. Ini adalah perilaku default jika tidak ada parameter yang disediakan.	Bendera	Tidak

Menghapus penerusan syslog

Jalankan perintah berikut untuk menghapus konfigurasi penerus syslog dan menghentikan penerus syslog:

Set-AzSSyslogForwarder -Remove 

Skema pesan dan referensi log peristiwa

Materi referensi berikut mencocokkan skema pesan syslog dan definisi peristiwa.

Skema pesan Syslog

Penerus syslog infrastruktur Azure Stack HCI mengirim pesan yang diformat mengikuti protokol syslog BSD yang ditentukan dalam RFC3164. CEF juga digunakan untuk memformat payload pesan syslog.

Setiap pesan syslog disusun berdasarkan skema ini: Prioritas (PRI) | Waktu | Host | Payload CEF |

Bagian PRI berisi dua nilai: fasilitas dan tingkat keparahan. Keduanya bergantung pada jenis pesan, seperti Peristiwa Windows, dll.

Skema/definisi payload format Peristiwa Umum

Payload Common Event format (CEF) didasarkan pada struktur berikut. Pemetaan untuk setiap bidang bervariasi tergantung pada jenis pesan, seperti Peristiwa Windows, dll.

CEF: |Versi | Vendor Perangkat | Produk Perangkat | Versi Perangkat | ID Tanda Tangan | Nama | Tingkat keparahan | Ekstensi |

• Versi: 0.0
• Vendor Perangkat: Microsoft
• Produk Perangkat: Microsoft Azure Stack HCI
• Versi Perangkat: 1.0

Contoh dan pemetaan peristiwa Windows

Semua peristiwa Windows menggunakan nilai fasilitas PRI 10.

• ID Tanda Tangan: ProviderName:EventID
• Nama: TaskName
• Tingkat keparahan: Tingkat. Untuk detailnya, lihat tabel Tingkat Keparahan berikut ini.
• Ekstensi: Nama Ekstensi Kustom. Untuk detailnya, lihat tabel berikut.

Tingkat keparahan peristiwa Windows

Nilai keparahan PRI	Nilai keparahan CEF	Tingkat peristiwa Windows	Nilai MasLevel (dalam ekstensi)
7	0	Tidak ditentukan	Nilai: 0. Menunjukkan log di semua tingkatan.
2	10	Kritis	Nilai: 1. Menunjukkan log untuk pemberitahuan penting.
3	8	Kesalahan	Nilai: 2. Menunjukkan log untuk kesalahan.
4	5	Peringatan	Nilai: 3. Menunjukkan log untuk peringatan.
6	2	Informasi	Nilai: 4. Menunjukkan log untuk pesan informasi.
7	0	Verbose	Nilai: 5. Menunjukkan log untuk pesan verbose.

Ekstensi kustom dan peristiwa Windows di Azure Stack HCI

Nama ekstensi kustom	Peristiwa Windows
MasChannel	Sistem
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	svchost!!4132,G,0!!!!EseDiskFlushConsistency!!ESENT!!0x800000
MasEventDescription	Pengaturan Kebijakan Grup untuk pengguna berhasil diproses. Tidak ada perubahan yang terdeteksi sejak pemrosesan Kebijakan Grup terakhir yang berhasil.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Audit Berhasil
MasLevel	4
MasOpcode	1
MasOpcodeName	info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Pembuatan Proses
MasUserData	KB4093112!!5112!!Installed!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Peristiwa lain-lain

Kejadian lain-lain yang diteruskan. Peristiwa ini tidak dapat disesuaikan.

Jenis peristiwa	Kueri peristiwa
Peristiwa autentikasi Wireless Lan 802.1x dengan alamat MAC Peer	query="Security!*[System[(EventID=5632)]]"
Layanan baru (4697)	query="Security!*[System[(EventID=4697)]]"
Sambungan ulang Sesi TS (4778), Pemutusan Sesi TS (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]]"
Akses objek berbagi jaringan tanpa berbagi IPC$ dan Netlogon	query="Keamanan! [System[(EventID=5140)] dan EventData[Data[@Name='ShareName']!='\IPC$'] dan EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Perubahan Waktu Sistem (4616)	query="Security!*[System[(EventID=4616)]]"
Logon lokal tanpa peristiwa jaringan atau layanan	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]"
Log Keamanan menghapus peristiwa (1102), penonaktifan Layanan EventLog (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]]"
Logoff yang dimulai pengguna	query="Security!*[System[(EventID=4647)]]"
Logoff pengguna untuk semua sesi masuk non-jaringan	query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]"
Peristiwa masuk layanan jika akun pengguna bukan LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] dan EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] dan EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
Network Share create (5142), Network Share Delete (5144)	query="Security!*[System[(EventID=5142 or EventID=5144)]]"
Pembuatan Proses (4688)	query="Security!*[System[EventID=4688]]"
Peristiwa layanan log peristiwa khusus untuk saluran Keamanan	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Hak Istimewa Khusus (Akses setara Admin) yang ditetapkan untuk masuk baru, tidak termasuk LocalSystem	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]"
Pengguna baru ditambahkan ke grup keamanan lokal, global, atau universal	query="Security!*[System[(EventID=4732 or EventID=4728 or EventID=4756)]]"
Pengguna dihapus dari grup Administrator lokal	query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]"
Layanan Sertifikat menerima permintaan sertifikat (4886), Disetujui dan Sertifikat dikeluarkan (4887), Permintaan ditolak (4888)	query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]"
Akun Pengguna Baru Dibuat(4720), Akun Pengguna Diaktifkan (4722), Akun Pengguna Dinonaktifkan (4725), Akun Pengguna Dihapus (4726)	query="Security!*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]"
Peristiwa lama anti-malware, tetapi hanya mendeteksi peristiwa (mengurangi kebisingan)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119)]"
Startup sistem (12 - termasuk OS/SP/Version) dan pematian	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]]"
Penginstalan Layanan (7000), kegagalan mulai layanan (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] dan (EventID = 7000 atau EventID=7045)]]"
Mematikan memulai permintaan, dengan pengguna, proses, dan alasan (jika disediakan)	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]"
Peristiwa layanan log peristiwa	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Peristiwa log lainnya yang dibersihkan (104)	query="System!*[System[(EventID=104)]]"
Peristiwa perlindungan EMET/Eksploitasi	query="Application!*[System[Provider[@Name='EMET']]] "
Peristiwa WER hanya untuk crash aplikasi	query="Application!*[System[Provider[@Name='Pelaporan Galat Windows']] and EventData[Data[3]='APPCRASH']]"
Pengguna masuk dengan profil Sementara (1511), tidak dapat membuat profil, menggunakan profil sementara (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]] "
Peristiwa crash/macet aplikasi, mirip dengan WER/1001. Ini termasuk jalur lengkap untuk kesalahan EXE/Module.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]]"
Tugas Penjadwal Tugas Terdaftar (106), Pendaftaran Tugas Dihapus (141), Tugas Dihapus (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] dan (EventID=106 atau EventID=141 atau EventID=142 )]]"
Eksekusi aplikasi AppLocker yang dikemas (UI Modern)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Penginstalan aplikasi AppLocker yang dipaketkan (Modern UI)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Log mencoba TS tersambung ke server jarak jauh	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Mendapatkan semua peristiwa Smart-card Card-Holder Verification (CHV) (berhasil dan gagal) yang dilakukan pada host.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Mendapatkan semua koneksi UNC/drive yang berhasil dipetakan	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 atau EventID=30624)]]"
Penyedia acara SysMon modern	query="Microsoft-Windows-Sysmon/Operational!*"
Peristiwa Deteksi penyedia peristiwa modern Pertahanan Windows (1006-1009) dan (1116-1119); plus (5001.5010.5012) direq'd oleh pelanggan	query="Microsoft-Windows-Pertahanan Windows/Operational!*[System[( (EventID >= 1006 dan EventID <= 1009) atau (EventID >= 1116 dan EventID <= 1119) atau (EventID = 5001 atau EventID = 5010 atau EventID = 5012) )]]"
Peristiwa Integritas Kode	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] dan (EventID=3076 atau EventID=3077)]"
Peristiwa berhenti/Mulai CA Layanan DIhentikan (4880), Layanan CA Dimulai (4881), baris CA DB dihapus (4896), Templat CA dimuat (4898)	query="Security!*[System[(EventID=4880 atau EventID = 4881 atau EventID = 4896 atau EventID = 4898)]"
Peristiwa RRAS – hanya dibuat di server IaS Microsoft	query="Security!*[System[( (EventID >= 6272 dan EventID <= 6280) )]]"
Proses Berakhir (4689)	query="Security!*[System[(EventID = 4689)]]"
Peristiwa yang dimodifikasi registri untuk Operasi: Nilai Registri Baru dibuat (%%1904), Nilai Registri yang Ada diubah (%1905), Nilai Registri Dihapus (%%1906)	query="Security!*[System[(EventID=4657)] dan (EventData[Data[@Name='OperationType'] = '%%1904'] atau EventData[Data[@Name='OperationType'] = '%%1905'] atau EventData[Data[@Name='OperationType'] = '%%1906'])]"
Permintaan yang dibuat untuk mengautentikasi ke jaringan Nirkabel (termasuk Peer MAC (5632))	query="Security!*[System[(EventID=5632)]]"
Perangkat eksternal baru dikenali oleh Sistem(6416)	query="Security!*[System[(EventID=6416)]]"
Peristiwa autentikasi RADIUS Alamat IP yang Ditetapkan Pengguna (20274), Pengguna berhasil diautentikasi (20250), Pengguna Terputus (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] dan (EventID=20274 atau EventID=20250 atau EventID=20275)]]"
Peristiwa CAPI Build Chain (11), Kunci Privat diakses (70), objek X509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 or EventID=70 or EventID=90)]]"
Grup yang ditetapkan ke login baru (kecuali untuk akun bawaan yang terkenal)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] dan EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] dan EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']"
Peristiwa klien DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']='']"
Deteksi driver User-Mode yang dimuat - untuk deteksi BadUSB potensial.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Detail eksekusi alur PowerShell warisan (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
Peristiwa yang dihentikan Defender	query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] dan EventData[Data[@Name='param2']='stop']]"
Peristiwa Manajemen BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Langkah berikutnya

Pelajari lebih lanjut tentang:

• Pengaturan garis besar keamanan untuk Azure Stack HCI.
• Pertahanan Windows Kontrol Aplikasi untuk Azure Stack HCI.
• BitLocker untuk Azure Stack HCI.