Kueri untuk tabel SecurityEvent
Peristiwa Keamanan ID peristiwa paling umum
Kueri ini menampilkan daftar turun dari jumlah peristiwa yang diserap per EventId untuk Audit Keamanan.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Anggota ditambahkan ke grup keamanan
Siapa yang ditambahkan ke grup yang mendukung keamanan selama hari terakhir?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Penggunaan kata sandi teks yang jelas
Cantumkan semua akun yang masuk menggunakan kata sandi teks-jelas selama hari terakhir.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Windows gagal masuk
Temukan laporan akun Windows yang gagal masuk.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Semua Aktivitas Keamanan
Aktivitas keamanan diurutkan menurut waktu (terbaru terlebih dahulu).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Aktivitas Keamanan pada Perangkat
Aktivitas keamanan pada perangkat tertentu diurutkan menurut waktu (terbaru terlebih dahulu).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Aktivitas Keamanan untuk Admin
Aktivitas keamanan pada perangkat tertentu untuk administrator diurutkan menurut waktu (terbaru terlebih dahulu).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Aktivitas Masuk menurut Perangkat
Menghitung aktivitas masuk per perangkat.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Perangkat dengan lebih dari 10 logon
Menghitung aktivitas masuk per perangkat dengan lebih dari 10 masuk.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Akun Dihentikan Antimalware
Akun yang menghentikan Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Perangkat dengan Antimalware Dihentikan
Perangkat yang menghentikan Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Perangkat Tempat Hash Dijalankan
Perangkat tempat hash.exe dieksekusi lebih dari 5 kali.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Nama Proses Dijalankan
Lists jumlah eksekusi per proses.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Perangkat dengan log keamanan dikosongkan
Perangkat dengan log sekursi dibersihkan.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Aktivitas Masuk menurut Akun
Aktivitas masuk menurut akun.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Akun dengan logo kurang dari 5 kali
Aktivitas masuk untuk akun dengan kurang dari 5 logon.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Akun Yang Dicatat Dari Jarak Jauh pada Perangkat
Akun yang dicatat dari jarak jauh pada perangkat tertentu.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Komputer Dengan Masuk Akun Tamu
Komputer dengan logon dari akun tamu.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Anggota Ditambahkan ke Grup yang Diaktifkan Keamanan
Anggota ditambahkan ke grup yang diaktifkan keamanan.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Perubahan Kebijakan Keamanan Domain
Menghitung peristiwa perubahan kebijakan domain.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Perubahan Kebijakan Audit Sistem
Kebijakan audit sistem mengubah peristiwa menurut komputer.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Executable Mencurigakan
Lists executable yang mencurigakan.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Masuk dengan kata sandi teks yang jelas
Masuk dengan kata sandi teks yang jelas menurut akun target.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Komputer Dengan Log Peristiwa yang Dibersihkan
Komputer dengan log peristiwa yang dibersihkan.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Akun Gagal Masuk
Hitungan gagal masuk menurut akun target.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Akun Terkunci
Menghitung akun yang dikunci menurut akun target.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Mengubah atau Mereset Upaya Kata Sandi
Menghitung upaya ubah/reset paswords per akun target.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Grup Dibuat atau Diubah
Grup yang dibuat atau dimodifikasi per akun target.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Upaya Panggilan Prosedur Jarak Jauh
Menghitung upaya panggilan prosedur jarak jauh per komputer.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Akun Pengguna Diubah
Menghitung perubahan akun pengguna per akun target.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk