Query's voor de tabel SecurityEvent
Meest voorkomende gebeurtenis-id's van beveiligingsgebeurtenissen
Deze query geeft een aflopende lijst weer van het aantal gebeurtenissen dat per EventId is opgenomen voor beveiligingscontrole.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Leden die zijn toegevoegd aan beveiligingsgroepen
Wie is er de afgelopen dag toegevoegd aan de groep met beveiligingsproblemen?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Gebruik van wachtwoord voor tekst wissen
Een lijst weergeven van alle accounts die zich de afgelopen dag hebben aangemeld met een wachtwoord zonder tekst.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Windows mislukte aanmeldingen
Rapporten zoeken van Windows-accounts die zich niet konden aanmelden.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Alle beveiligingsactiviteiten
Beveiligingsactiviteiten gesorteerd op tijd (nieuwste eerst).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Beveiligingsactiviteiten op het apparaat
Beveiligingsactiviteiten op een specifiek apparaat gesorteerd op tijd (nieuwste eerst).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Beveiligingsactiviteiten voor Beheer
Beveiligingsactiviteiten op een specifiek apparaat voor beheerder gesorteerd op tijd (nieuwste eerst).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Aanmeldingsactiviteit per apparaat
Telt aanmeldingsactiviteiten per apparaat.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Apparaten met meer dan 10 aanmeldingen
Telt aanmeldingsactiviteiten per apparaat met meer dan 10 aanmeldingen.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Beëindigde antimalware voor accounts
Accounts die Microsoft Antimalware hebben beëindigd.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Apparaten met beëindigde antimalware
Apparaten die Microsoft Antimalware hebben beëindigd.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Apparaten waar hash is uitgevoerd
Apparaten waarop hash.exe meer dan 5 keer is uitgevoerd.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Procesnamen uitgevoerd
Lijsten aantal uitvoeringen per proces.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Apparaten waarvoor het beveiligingslogboek is gewist
Apparaten waarvoor het beveiligingslogboek is gewist.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Aanmeldingsactiviteit per account
Aanmeldingsactiviteit per account.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Accounts met minder dan 5 keer aanmelden
Aanmeldingsactiviteit voor accounts met minder dan 5 aanmeldingen.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Externe geregistreerde accounts op apparaten
Externe geregistreerde accounts op een specifiek apparaat.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Computers met aanmeldingen voor gastaccounts
Computers met aanmeldingen van gastaccounts.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Leden toegevoegd aan groepen waarvoor beveiliging is ingeschakeld
Leden die zijn toegevoegd aan de groepen waarvoor beveiliging is ingeschakeld.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Wijzigingen in het domeinbeveiligingsbeleid
Telt gebeurtenissen van het gewijzigde domeinbeleid.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Wijzigingen in het systeemcontrolebeleid
Systeemcontrolebeleid heeft gebeurtenissen per computer gewijzigd.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Verdachte uitvoerbare bestanden
Lijsten verdachte uitvoerbare bestanden.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Aanmeldingen met wachtwoord voor tekst wissen
Aanmeldingen met een wachtwoord zonder tekst per doelaccount.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Computers met opgeschoonde gebeurtenislogboeken
Computers met opgeschoonde gebeurtenislogboeken.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Aanmelden bij accounts is mislukt
Aantal mislukte aanmeldingen per doelaccount.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Vergrendelde accounts
Telt vergrendelde aantallen per doelaccount.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Pogingen om wachtwoorden te wijzigen of opnieuw in te stellen
Telt pogingen om wachtwoordwoorden te wijzigen/opnieuw in te stellen per doelaccount.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Groepen gemaakt of gewijzigd
Groepen die zijn gemaakt of gewijzigd per doelaccount.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Aanroeppogingen externe procedure
Telt externe procedureaanroeppogingen per computer.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Gebruikersaccounts gewijzigd
Telt wijzigingen in gebruikersaccounts per doelaccount.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor