Gestire l'inoltro syslog per Azure Stack HCI

Si applica a: Azure Stack HCI, versione 23H2

Questo articolo descrive come configurare gli eventi di sicurezza da inoltrare a un sistema di sicurezza gestito dal cliente e gestione eventi tramite il protocollo syslog per Azure Stack HCI, versione 23H2 (anteprima).

Usare l'inoltro syslog per integrare le soluzioni di monitoraggio della sicurezza e recuperare i log eventi di sicurezza pertinenti per archiviarli per la conservazione nella propria piattaforma SIEM. Per altre informazioni sulle funzionalità di sicurezza in questa versione, vedere Funzionalità di sicurezza per Azure Stack HCI, versione 23H2 (anteprima).

Configurare l'inoltro syslog

Gli agenti di inoltro syslog vengono distribuiti in ogni host di Azure Stack HCI per impostazione predefinita, pronti per la configurazione. Ognuno degli agenti inoltra gli eventi di sicurezza in formato syslog dall'host al server syslog configurato dal cliente.

Gli agenti di inoltro syslog funzionano in modo indipendente tra loro, ma possono essere gestiti tutti insieme su uno degli host. Usare i cmdlet di PowerShell con privilegi amministrativi in qualsiasi host per controllare il comportamento di tutti gli agenti di inoltro.

Il server di inoltro syslog in Azure Stack HCI supporta le configurazioni seguenti:

• Inoltro syslog con TCP, autenticazione reciproca (client e server) e crittografia TLS 1.2: In questa configurazione, sia il server syslog che il client syslog verificano l'identità tra loro tramite certificati. I messaggi vengono inviati tramite un canale crittografato TLS 1.2. Per altre informazioni, vedere Inoltro syslog con TCP, autenticazione reciproca (client e server) e crittografia TLS 1.2.

• Inoltro syslog con TCP, autenticazione server e crittografia TLS 1.2: In questa configurazione il client syslog verifica l'identità del server syslog tramite un certificato. I messaggi vengono inviati tramite un canale crittografato TLS 1.2. Per altre informazioni, vedere Inoltro syslog con TCP, autenticazione del server e crittografia TLS 1.2.

• Inoltro syslog con TCP e nessuna crittografia: In questa configurazione non vengono verificate le identità del server syslog e del client syslog. I messaggi vengono inviati in testo non crittografato tramite TCP. Per altre informazioni, vedere Inoltro syslog con TCP e nessuna crittografia.

• Syslog con UDP e nessuna crittografia: In questa configurazione non vengono verificate le identità del server syslog e del client syslog. I messaggi vengono inviati in testo non crittografato tramite UDP. Per altre informazioni, vedere Inoltro syslog con UDP e nessuna crittografia.

  Importante

  Per proteggere dagli attacchi man-in-the-middle e dall'intercettazione dei messaggi, Microsoft consiglia vivamente di usare TCP con autenticazione e crittografia negli ambienti di produzione.

Cmdlet per configurare l'inoltro Syslog

La configurazione dell'inoltro syslog richiede l'accesso all'host fisico usando un account amministratore di dominio. Un set di cmdlet di PowerShell è stato aggiunto a tutti gli host HCI di Azure Stack per controllare il comportamento del server di inoltro syslog.

Il Set-AzSSyslogForwarder cmdlet viene usato per impostare la configurazione del server di inoltro syslog per tutti gli host. In caso di esito positivo, verrà avviata un'istanza del piano di azione per configurare gli agenti di inoltro syslog in tutti gli host. L'ID dell'istanza del piano di azione verrà restituito.

Usare il cmdlet seguente per passare le informazioni del server syslog al server di inoltro e per configurare il protocollo di trasporto, la crittografia, l'autenticazione e il certificato facoltativo usato tra il client e il server:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parametri dei cmdlet

La tabella seguente fornisce parametri per il Set-AzSSyslogForwarder cmdlet:

Parametro	Descrizione	Tipo	Necessario
ServerName	FQDN o indirizzo IP del server Syslog.	string	Sì
ServerPort	Numero di porta su cui è in ascolto il server Syslog.	UInt16	Sì
NoEncryption	Forzare il client a inviare messaggi Syslog in testo non crittografato.	Contrassegno	No
SkipServerCertificateCheck	Ignorare la convalida del certificato fornito dal server Syslog durante l'handshake TLS iniziale.	Contrassegno	No
SkipServerCNCheck	Ignorare la convalida del valore di nome comune del certificato fornito dal server Syslog durante l'handshake TLS iniziale.	Contrassegno	No
UseUDP	Usare Syslog con UDP come protocollo di trasporto.	Contrassegno	No
ClientCertificateThumbprint	Identificazione personale del certificato client usato per comunicare con il server syslog.	string	No
OutputSeverity	Livello di registrazione dell'output. I valori sono Default o Verbose. Il valore Default (predefinito) include i livelli di gravità avviso, critico o errore. Il valore Verbose (dettagliato) include tutti i livelli di gravità dettagliato, informativo, avviso, critico o errore.	string	No
Rimuovi	Rimuovere la configurazione del forwarder syslog corrente e arrestare l'inoltro syslog.	Contrassegno	No

Inoltro syslog con TCP, autenticazione reciproca (client e server) e crittografia TLS 1.2

In questa configurazione il client syslog in Azure Stack HCI inoltra i messaggi al server syslog tramite TCP con crittografia TLS 1.2. Durante l'handshake iniziale, il client verifica che il server fornisca un certificato valido e attendibile. Al contempo, fornisce un certificato al server come prova della propria identità.

Questa configurazione è la più sicura perché fornisce la convalida completa dell'identità del client e del server e invia messaggi su un canale crittografato.

Importante

Microsoft consiglia di usare questa configurazione per gli ambienti di produzione.

Per configurare syslog forwarder con TCP, autenticazione reciproca e crittografia TLS 1.2, configurare il server e fornire il certificato al client per l'autenticazione nel server.

Eseguire il cmdlet seguente su un host fisico:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Importante

Il certificato client deve contenere una chiave privata. Se il certificato client viene firmato usando un certificato radice autofirmato, è necessario importare anche il certificato radice.

Inoltro syslog con TCP, autenticazione server e crittografia TLS 1.2

In questa configurazione l'inoltro syslog in Azure Stack HCI inoltra i messaggi al server syslog tramite TCP con crittografia TLS 1.2. Durante l'handshake iniziale, il client verifica anche che il server fornisca un certificato valido e attendibile.

Questa configurazione impedisce al client di inviare messaggi a destinazioni non attendibili. TCP usando l'autenticazione e la crittografia è la configurazione predefinita e rappresenta il livello minimo di sicurezza consigliato da Microsoft per un ambiente di produzione.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Se si vuole testare l'integrazione del server syslog con l'inoltro syslog di Azure Stack HCI usando un certificato autofirmato o non attendibile, usare questi flag per ignorare la convalida del server eseguita dal client durante l'handshake iniziale.

1. Ignorare la convalida del valore Common Name nel certificato del server. Usare questo flag se si specifica un indirizzo IP per il server syslog.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Ignorare la convalida del certificato server.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Importante

   Microsoft consiglia di non usare il -SkipServerCertificateCheck flag negli ambienti di produzione.

Inoltro Syslog con TCP e nessuna crittografia

In questa configurazione, il client syslog in Azure Stack HCI inoltra i messaggi al server syslog su TCP senza crittografia. Il client non verifica l'identità del server, né fornisce la propria identità al server per la verifica.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Importante

Microsoft consiglia di non usare questa configurazione negli ambienti di produzione.

Inoltro Syslog con UDP e nessuna crittografia

In questa configurazione, il client syslog in Azure Stack HCI inoltra i messaggi al server syslog tramite UDP, senza crittografia. Il client non verifica l'identità del server, né fornisce la propria identità al server per la verifica.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Anche se UDP senza crittografia è il più semplice da configurare, non fornisce alcuna protezione dagli attacchi man-in-the-middle o dall'intercettazione dei messaggi.

Importante

Microsoft consiglia di non usare questa configurazione negli ambienti di produzione.

Abilitare l'inoltro syslog

Eseguire il cmdlet seguente per abilitare l'inoltro syslog:

Enable-AzSSyslogForwarder [-Force]

Il server d'inoltro Syslog verrà abilitato con la configurazione archiviata fornita dall'ultima chiamata riuscita Set-AzSSyslogForwarder . Il cmdlet avrà esito negativo se non è stata fornita alcuna configurazione usando Set-AzSSyslogForwarder.

Disabilitare l'inoltro syslog

Eseguire il cmdlet seguente per disabilitare l'inoltro syslog:

Disable-AzSSyslogForwarder [-Force] 

Parametro per Enable-AzSSyslogForwarder i cmdlet e Disable-AzSSyslogForwarder :

Parametro	Descrizione	Tipo	Necessario
Force	Se specificato, un piano di azione verrà sempre attivato anche se lo stato di destinazione è uguale a quello corrente. Ciò può essere utile per reimpostare le modifiche fuori banda.	Contrassegno	No

Verificare l'installazione di syslog

Dopo aver connesso correttamente il client syslog al server syslog, si inizierà a ricevere le notifiche degli eventi. Se le notifiche non vengono visualizzate, verificare la configurazione del server d'inoltro syslog del cluster eseguendo il cmdlet seguente:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Ogni host ha un proprio agente di inoltro syslog che usa una copia locale della configurazione del cluster. Si prevede che siano sempre uguali alla configurazione del cluster. È possibile verificare la configurazione corrente in ogni host usando il cmdlet seguente:

Get-AzSSyslogForwarder -PerNode 

È anche possibile usare il cmdlet seguente per verificare la configurazione nell'host a cui si è connessi:

Get-AzSSyslogForwarder -Local

Parametri dei cmdlet per il Get-AzSSyslogForwarder cmdlet:

Parametro	Descrizione	Tipo	Necessario
Locale	Mostra la configurazione attualmente usata nell'host corrente.	Contrassegno	No
PerNode	Mostra la configurazione attualmente usata in ogni host.	Contrassegno	No
Cluster	Visualizzare la configurazione globale corrente in Azure Stack HCI. Si tratta del comportamento predefinito se non viene specificato alcun parametro.	Contrassegno	No

Rimuovere l'inoltro syslog

Eseguire il comando seguente per rimuovere la configurazione del server d'inoltro syslog e arrestare il server d'inoltro syslog:

Set-AzSSyslogForwarder -Remove 

Informazioni di riferimento sullo schema dei messaggi e sul registro eventi

Il materiale di riferimento seguente documenta lo schema dei messaggi syslog e le definizioni degli eventi.

Schema dei messaggi Syslog

Il server d'inoltro syslog dell'infrastruttura Azure Stack HCI invia messaggi formattati in base al protocollo syslog BSD definito in RFC3164. CEF viene usato anche per formattare il payload del messaggio syslog.

Ogni messaggio syslog è strutturato in base a questo schema: Priorità (PRI) | Ora | Host | Payload CEF |

La parte PRI contiene due valori: struttura e gravità. Entrambi dipendono dal tipo di messaggio, ad esempio Evento di Windows e così via.

Schema/definizioni comuni del payload del formato di eventi

Il payload COMMON Event Format (CEF) si basa sulla struttura seguente. Il mapping per ogni campo varia a seconda del tipo di messaggio, ad esempio Evento di Windows e così via.

CEF: |Versione | Fornitore di dispositivi | Prodotto dispositivo | Versione del dispositivo | ID firma | Nome | Gravità | Estensioni |

• Versione: 0.0
• Fornitore di dispositivi: Microsoft
• Prodotto dispositivo: Microsoft Azure Stack HCI
• Versione del dispositivo: 1.0

Mapping ed esempi di eventi di Windows

Tutti gli eventi di Windows usano il valore della struttura PRI 10.

• ID firma: ProviderName:EventID
• Nome: TaskName
• Gravità: livello. Per informazioni dettagliate, vedere la tabella di gravità seguente.
• Estensione: nome estensione personalizzato. Per informazioni dettagliate, vedere la tabella seguente.

Gravità degli eventi di Windows

Valore di gravità PRI	Valore di gravità CEF	Livello di evento di Windows	Valore MasLevel (in estensione)
7	0	Non definito	Valore: 0 Indica i log a tutti i livelli.
2	10	Critico	Valore: 1. Indica i log per un avviso critico.
3	8	Errore	Valore: 2. Indica i log per un errore.
4	5	Avviso	Valore: 3. Indica i log per un avviso.
6	2	Informazioni	Valore: 4. Indica i log per un messaggio informativo.
7	0	Dettagliato	Valore: 5. Indica i log per un messaggio dettagliato.

Estensioni personalizzate ed eventi windows in Azure Stack HCI

Nome dell'estensione personalizzato	evento di Windows.
MasChannel	Sistema
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	Le impostazioni di Criteri di gruppo per l'utente sono state elaborate correttamente. Non sono state rilevate modifiche dall'ultima elaborazione riuscita di Criteri di gruppo.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Verifica esito positivo
MasLevel	4
MasOpcode	1
MasOpcodeName	info
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Creazione di processi
MasUserData	KB4093112!! 5112!! Installato!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Eventi vari

Eventi vari inoltrati. Questi eventi non possono essere personalizzati.

Tipo di evento	Query evento
Eventi di autenticazione Lan wireless 802.1x con l'indirizzo PEER MAC	query="Security!*[System[(EventID=5632)]]"
Nuovo servizio (4697)	query="Security!*[System[(EventID=4697)]]"
Riconnessione della sessione TS (4778), disconnessione sessione TS (4779)	query="Security!*[System[(EventID=4778 o EventID=4779)]"
Accesso all'oggetto condivisione di rete senza condivisioni IPC$ e Netlogon	query="Security! [System[(EventID=5140)] e EventData[Data[@Name='ShareName']!='\\IPC$'] e EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Modifica dell'ora di sistema (4616)	query="Security!*[System[(EventID=4616)]]"
Accessi locali senza eventi di rete o di servizio	query="Security!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']!='3'] e EventData[Data[@Name='LogonType']!='5']]
Eventi cancellati del log di sicurezza (1102), arresto del servizio EventLog (1100)	query="Security!*[System[(EventID=1102 o EventID=1100)]]"
Logoff avviato dall'utente	query="Security!*[System[(EventID=4647)]]"
Logoff utente per tutte le sessioni di accesso non di rete	query="Security!*[System[(EventID=4634)] e EventData[Data[@Name='LogonType'] != '3']]"
Eventi di accesso al servizio se l'account utente non è LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']='5'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-1 e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']"
Creazione condivisione di rete (5142), Eliminazione condivisione di rete (5144)	query="Security!*[System[(EventID=5142 o EventID=5144)]]"
Creazione processo (4688)	query="Security!*[System[EventID=4688]]"
Eventi del servizio log eventi specifici del canale di sicurezza	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]"
Privilegi speciali (accesso Amministrazione equivalente) assegnati al nuovo accesso, escluso LocalSystem	query="Security!*[System[(EventID=4672)] e EventData[Data[1] != 'S-1-5-18']"
Nuovo utente aggiunto al gruppo di sicurezza locale, globale o universale	query="Security!*[System[(EventID=4732 o EventID=4728 o EventID=4756)]]"
Utente rimosso dal gruppo Administrators locale	query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]"
Richiesta di certificato ricevuta da Servizi certificati (4886), Approvata e Certificato rilasciato (4887), Richiesta negata (4888)	query="Security!*[System[(EventID=4886 o EventID=4887 o EventID=4888)]]"
Nuovo account utente creato (4720), account utente abilitato (4722), account utente disabilitato (4725), account utente eliminato (4726)	query="Security!*[System[(EventID=4720 o EventID=4722 o EventID=4725 o EventID=4726)]]"
Eventi obsoleti antimalware, ma rilevano solo gli eventi (riduce il rumore)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] e (EventID >= 1116 e EventID <= 1119)]]"
Avvio del sistema (12: include OS/SP/Version) e arresto	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] e (EventID=12 o EventID=13)]]"
Installazione del servizio (7000), errore di avvio del servizio (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] e (EventID = 7000 o EventID=7045)]]"
Arrestare le richieste, con utente, processo e motivo (se specificato)	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]"
Eventi del servizio registro eventi	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Altri eventi log cancellati (104)	query="System!*[System[(EventID=104)]]"
Eventi di protezione dagli exploit/EMET	query="Application!*[System[Provider[@Name='EMET']]]"
Eventi WER solo per arresti anomali dell'applicazione	query="Application!*[System[Provider[@Name='Segnalazione errori Windows']] e EventData[Data[3]='APPCRASH']]"
L'accesso utente con profilo temporaneo (1511) non può creare un profilo usando un profilo temporaneo (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] e (EventID=1511 o EventID=1518)]]"
Eventi di arresto anomalo/blocco dell'applicazione, simili a WER/1001. Questi includono il percorso completo dell'errore EXE/Module.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]]"
Attività di pianificazione attività registrata (106), Registrazione attività eliminata (141), Attività eliminata (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] e (EventID=106 o EventID=141 o EventID=142 )]]"
Esecuzione di app AppLocker in pacchetto (interfaccia utente moderna)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Installazione dell'app AppLocker in pacchetto (interfaccia utente moderna)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Log tentativo di connessione TS al server remoto	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Ottiene tutti gli eventi di verifica Card-Holder smart card (CHV) (esito positivo e negativo) eseguiti nell'host.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Ottiene tutte le connessioni UNC/mappate riuscite alla connessione	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 o EventID=30624)]]"
Provider di eventi SysMon moderno	query="Microsoft-Windows-Sysmon/Operational!*"
Eventi moderni di rilevamento del provider di eventi di Windows Defender (1006-1009) e (1116-1119); più (5001.5010.5012) per i clienti	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 e EventID <= 1009) o (EventID >= 1116 e EventID <= 1119) o (EventID = 5001 o EventID = 5010 o EventID = 5012) )]]"
Eventi di integrità del codice	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] e (EventID=3076 o EventID=3077)]]"
Ca stop/Start events CA Service Stopped (4880), CA Service Started (4881), CA DB rowd (4896), CA Template loaded (4898)	query="Security!*[System[(EventID=4880 o EventID = 4881 o EventID = 4896 o EventID = 4898)]]"
Eventi RRAS: generati solo nel server IAS Microsoft	query="Security!*[System[( (EventID >= 6272 e EventID <= 6280) )]]"
Process Terminate (4689)	query="Security!*[System[(EventID = 4689)]]"
Eventi modificati del Registro di sistema per operazioni: nuovo valore del Registro di sistema creato (%%1904), valore del Registro di sistema esistente modificato (%%1905), valore del Registro di sistema eliminato (%%1906)	query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] o EventData[Data[@Name='OperationType'] = '%%1905'] o EventData[Data[@Name='OperationType'] = '%%1906']"
Richiesta effettuata per l'autenticazione alla rete wireless (incluso IL MAC peer (5632))	query="Security!*[System[(EventID=5632)]]"
Un nuovo dispositivo esterno è stato riconosciuto da System(6416)	query="Security!*[System[(EventID=6416)]]"
Eventi di autenticazione RADIUS Indirizzo IP assegnato dall'utente (20274), Autenticazione utente completata (20250), Disconnessione utente (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 o EventID=20250 o EventID=20275)]]"
Catena di compilazione eventi CAPI (11), accesso a chiave privata (70), oggetto X509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 o EventID=70 o EventID=90)]]"
Gruppi assegnati a un nuovo account di accesso (ad eccezione degli account predefiniti noti)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] and EventData[Data [@Name='TargetUserSid'] != 'S-1-5-18'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
Eventi client DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']=']]"
Rilevare User-Mode driver caricati: per il potenziale rilevamento badUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Dettagli sull'esecuzione della pipeline di PowerShell legacy (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
Eventi arrestati da Defender	query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] and EventData[Data[@Name='param2']='stopped']]"
Eventi di gestione di BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Passaggi successivi

Altre informazioni su:

• Impostazioni della baseline di sicurezza per Azure Stack HCI.
• Windows Defender Controllo applicazioni per Azure Stack HCI.
• BitLocker per Azure Stack HCI.