Zarządzanie przekazywaniem dziennika systemowego dla usługi Azure Stack HCI

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób konfigurowania zdarzeń zabezpieczeń do przekazywania do systemu informacji i zdarzeń zarządzanych przez klienta (SIEM) przy użyciu protokołu syslog dla usługi Azure Stack HCI w wersji 23H2 (wersja zapoznawcza).

Przekazywanie dziennika systemowego umożliwia integrację z rozwiązaniami do monitorowania zabezpieczeń oraz pobieranie odpowiednich dzienników zdarzeń zabezpieczeń w celu przechowywania ich na własnej platformie SIEM. Aby uzyskać więcej informacji na temat funkcji zabezpieczeń w tej wersji, zobacz Funkcje zabezpieczeń dla usługi Azure Stack HCI, wersja 23H2 (wersja zapoznawcza).

Konfigurowanie przekazywania dziennika systemowego

Agenci przekazywania dziennika systemowego są domyślnie wdrażani na każdym hoście usługi Azure Stack HCI gotowym do skonfigurowania. Każdy z agentów przekaże zdarzenia zabezpieczeń w formacie dziennika systemowego z hosta do serwera dziennika syslog skonfigurowanego przez klienta.

Agenci przekazujący dziennik systemowy działają niezależnie od siebie, ale mogą być zarządzane razem na jednym z hostów. Użyj poleceń cmdlet programu PowerShell z uprawnieniami administracyjnymi na dowolnym hoście, aby kontrolować zachowanie wszystkich agentów usługi przesyłania dalej.

Usługa przesyłania dalej dziennika systemu w usłudze Azure Stack HCI obsługuje następujące konfiguracje:

• Przekazywanie dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania (klienta i serwera) i szyfrowania TLS 1.2: W tej konfiguracji zarówno serwer syslog, jak i klient dziennika systemowego weryfikują tożsamość siebie nawzajem za pośrednictwem certyfikatów. Komunikaty są wysyłane za pośrednictwem szyfrowanego kanału TLS 1.2. Aby uzyskać więcej informacji, zobacz Przekazywanie dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania (klienta i serwera) i szyfrowania TLS 1.2.

• Przekazywanie dziennika systemowego przy użyciu protokołu TCP, uwierzytelniania serwera i szyfrowania TLS 1.2: W tej konfiguracji klient dziennika systemowego weryfikuje tożsamość serwera syslog za pośrednictwem certyfikatu. Komunikaty są wysyłane za pośrednictwem szyfrowanego kanału TLS 1.2. Aby uzyskać więcej informacji, zobacz Przekazywanie dziennika systemowego przy użyciu protokołu TCP, uwierzytelniania serwera i szyfrowania TLS 1.2.

• Przekazywanie dziennika systemowego przy użyciu protokołu TCP i bez szyfrowania: W tej konfiguracji tożsamości klienta dziennika systemowego i serwera syslog nie są weryfikowane. Komunikaty są wysyłane w postaci zwykłego tekstu za pośrednictwem protokołu TCP. Aby uzyskać więcej informacji, zobacz Przekazywanie dziennika systemowego przy użyciu protokołu TCP i bez szyfrowania.

• Dziennik systemowy z protokołem UDP i bez szyfrowania: W tej konfiguracji tożsamości klienta dziennika systemowego i serwera syslog nie są weryfikowane. Komunikaty są wysyłane w postaci zwykłego tekstu za pośrednictwem protokołu UDP. Aby uzyskać więcej informacji, zobacz Przekazywanie dziennika systemowego przy użyciu protokołu UDP i bez szyfrowania.

  Ważne

  Aby chronić się przed atakami typu man-in-the-middle i podsłuchami komunikatów, firma Microsoft zdecydowanie zaleca używanie protokołu TCP z uwierzytelnianiem i szyfrowaniem w środowiskach produkcyjnych.

Polecenia cmdlet do konfigurowania przekazywania dziennika systemowego

Konfigurowanie usługi przesyłania dalej dziennika systemowego wymaga dostępu do hosta fizycznego przy użyciu konta administratora domeny. Zestaw poleceń cmdlet programu PowerShell został dodany do wszystkich hostów usługi Azure Stack HCI w celu kontrolowania zachowania usługi przesyłania dalej dziennika systemowego.

Polecenie Set-AzSSyslogForwarder cmdlet służy do ustawiania konfiguracji usługi przesyłania dalej dziennika systemowego dla wszystkich hostów. W przypadku powodzenia wystąpienie planu akcji zostanie uruchomione w celu skonfigurowania agentów usługi przesyłania dalej dziennika systemowego na wszystkich hostach. Zostanie zwrócony identyfikator wystąpienia planu działania.

Użyj następującego polecenia cmdlet, aby przekazać informacje o serwerze syslog do usługi przesyłania dalej i skonfigurować protokół transportu, szyfrowanie, uwierzytelnianie i opcjonalny certyfikat używany między klientem a serwerem:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parametry polecenia cmdlet

Poniższa tabela zawiera parametry polecenia Set-AzSSyslogForwarder cmdlet:

Parametr	Opis	Typ	Wymagane
ServerName	Nazwa FQDN lub adres IP serwera dziennika systemu.	Ciąg	Tak
ServerPort	Numer portu, na który nasłuchuje serwer syslog.	UInt16	Tak
NoEncryption	Wymuś, aby klient wysyłał komunikaty dziennika systemowego w postaci zwykłego tekstu.	Flaga	Nie
SkipServerCertificateCheck	Pomiń walidację certyfikatu dostarczonego przez serwer syslog podczas początkowego uzgadniania protokołu TLS.	Flaga	Nie
SkipServerCNCheck	Pomiń walidację wartości pospolitej certyfikatu dostarczonego przez serwer syslog podczas początkowego uzgadniania protokołu TLS.	Flaga	Nie
UseUDP	Użyj dziennika syslog z protokołem UDP jako protokołu transportowego.	Flaga	Nie
ClientCertificateThumbprint	Odcisk palca certyfikatu klienta używanego do komunikowania się z serwerem syslog.	Ciąg	Nie
OutputSeverity	Poziom rejestrowania danych wyjściowych. Wartości są wartościami domyślnymi lub pełnymi. Wartość domyślna obejmuje poziomy ważności: ostrzeżenie, krytyczne lub błąd. Pełne zawiera wszystkie poziomy ważności: pełne, informacyjne, ostrzegawcze, krytyczne lub błędy.	Ciąg	Nie
Usuń	Usuń bieżącą konfigurację usługi przesyłania dalej dziennika syslog i zatrzymaj usługę przesyłania dalej syslog.	Flaga	Nie

Przekazywanie dziennika systemowego przy użyciu protokołu TCP, wzajemnego uwierzytelniania (klienta i serwera) i szyfrowania TLS 1.2

W tej konfiguracji klient dziennika systemu w usłudze Azure Stack HCI przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu TCP przy użyciu szyfrowania TLS 1.2. Podczas początkowego uzgadniania klient sprawdza, czy serwer zapewnia prawidłowy, zaufany certyfikat. Klient udostępnia również certyfikat serwerowi jako dowód jego tożsamości.

Ta konfiguracja jest najbezpieczniejsza, ponieważ zapewnia pełną weryfikację tożsamości zarówno klienta, jak i serwera, i wysyła komunikaty za pośrednictwem zaszyfrowanego kanału.

Ważne

Firma Microsoft zaleca użycie tej konfiguracji dla środowisk produkcyjnych.

Aby skonfigurować usługę przesyłania dalej dziennika systemu przy użyciu protokołu TCP, wzajemnego uwierzytelniania i szyfrowania TLS 1.2, skonfiguruj serwer i podaj certyfikat klientowi w celu uwierzytelnienia na serwerze.

Uruchom następujące polecenie cmdlet względem hosta fizycznego:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Ważne

Certyfikat klienta musi zawierać klucz prywatny. Jeśli certyfikat klienta jest podpisany przy użyciu certyfikatu głównego z podpisem własnym, należy również zaimportować certyfikat główny.

Przekazywanie dziennika systemowego przy użyciu protokołu TCP, uwierzytelniania serwera i szyfrowania TLS 1.2

W tej konfiguracji usługa przesyłania dalej dziennika systemu w usłudze Azure Stack HCI przekazuje komunikaty do serwera dziennika systemowego za pośrednictwem protokołu TCP z szyfrowaniem TLS 1.2. Podczas początkowego uzgadniania klient sprawdza również, czy serwer zapewnia prawidłowy, zaufany certyfikat.

Ta konfiguracja uniemożliwia klientowi wysyłanie komunikatów do niezaufanych miejsc docelowych. Protokół TCP przy użyciu uwierzytelniania i szyfrowania jest konfiguracją domyślną i reprezentuje minimalny poziom zabezpieczeń zalecany przez firmę Microsoft dla środowiska produkcyjnego.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Jeśli chcesz przetestować integrację serwera dziennika systemu z usługą Azure Stack HCI syslog forwarder przy użyciu certyfikatu z podpisem własnym lub niezaufanym, użyj tych flag, aby pominąć weryfikację serwera wykonywaną przez klienta podczas początkowego uzgadniania.

1. Pomiń walidację wartości Nazwa pospolita w certyfikacie serwera. Użyj tej flagi, jeśli podasz adres IP serwera syslog.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Pomiń walidację certyfikatu serwera.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Ważne

   Firma Microsoft zaleca, aby nie używać flagi -SkipServerCertificateCheck w środowiskach produkcyjnych.

Przekazywanie dziennika systemowego przy użyciu protokołu TCP i bez szyfrowania

W tej konfiguracji klient dziennika systemu w usłudze Azure Stack HCI przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu TCP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości do serwera na potrzeby weryfikacji.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Ważne

Firma Microsoft zaleca, aby nie używać tej konfiguracji w środowiskach produkcyjnych.

Przekazywanie dziennika systemowego przy użyciu protokołu UDP i bez szyfrowania

W tej konfiguracji klient dziennika systemu w usłudze Azure Stack HCI przekazuje komunikaty do serwera dziennika systemu za pośrednictwem protokołu UDP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości do serwera na potrzeby weryfikacji.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Chociaż protokół UDP bez szyfrowania jest najłatwiejszy do skonfigurowania, nie zapewnia żadnej ochrony przed atakami typu man-in-the-middle ani podsłuchiwanie komunikatów.

Ważne

Firma Microsoft zaleca, aby nie używać tej konfiguracji w środowiskach produkcyjnych.

Włączanie przekazywania dziennika systemowego

Uruchom następujące polecenie cmdlet, aby włączyć przekazywanie dziennika systemowego:

Enable-AzSSyslogForwarder [-Force]

Usługa przesyłania dalej dziennika systemowego zostanie włączona z konfiguracją przechowywaną dostarczoną przez ostatnie pomyślne Set-AzSSyslogForwarder wywołanie. Polecenie cmdlet zakończy się niepowodzeniem, jeśli nie podano konfiguracji przy użyciu polecenia Set-AzSSyslogForwarder.

Wyłączanie przekazywania dziennika systemowego

Uruchom następujące polecenie cmdlet, aby wyłączyć przekazywanie dziennika systemowego:

Disable-AzSSyslogForwarder [-Force] 

Parametr dla Enable-AzSSyslogForwarder poleceń cmdlet i Disable-AzSSyslogForwarder :

Parametr	Opis	Typ	Wymagane
Force	Jeśli zostanie określony, plan działania będzie zawsze wyzwalany, nawet jeśli stan docelowy jest taki sam jak bieżący. Może to być przydatne do zresetowania zmian poza pasmem.	Flaga	Nie

Weryfikowanie konfiguracji dziennika systemowego

Po pomyślnym połączeniu klienta dziennika syslog z serwerem dziennika systemowego rozpoczniesz odbieranie powiadomień o zdarzeniach. Jeśli nie widzisz powiadomień, sprawdź konfigurację usługi przesyłania dalej dziennika systemu klastra, uruchamiając następujące polecenie cmdlet:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Każdy host ma własnego agenta usługi przesyłania dalej dziennika systemowego, który używa lokalnej kopii konfiguracji klastra. Zawsze powinny być takie same jak konfiguracja klastra. Bieżącą konfigurację na każdym hoście można zweryfikować przy użyciu następującego polecenia cmdlet:

Get-AzSSyslogForwarder -PerNode 

Możesz również użyć następującego polecenia cmdlet, aby sprawdzić konfigurację na hoście, z którym masz połączenie:

Get-AzSSyslogForwarder -Local

Parametry polecenia cmdlet dla Get-AzSSyslogForwarder polecenia cmdlet:

Parametr	Opis	Typ	Wymagane
Lokalne	Pokaż aktualnie używaną konfigurację na bieżącym hoście.	Flaga	Nie
PerNode	Pokaż aktualnie używaną konfigurację na każdym hoście.	Flaga	Nie
Klaster	Pokaż bieżącą konfigurację globalną w usłudze Azure Stack HCI. Jest to domyślne zachowanie, jeśli nie podano żadnego parametru.	Flaga	Nie

Usuwanie przekazywania dziennika systemowego

Uruchom następujące polecenie, aby usunąć konfigurację usługi przesyłania dalej dziennika systemu i zatrzymać usługę przesyłania dalej dziennika systemowego:

Set-AzSSyslogForwarder -Remove 

Dokumentacja schematu komunikatów i dziennika zdarzeń

Poniższy materiał referencyjny dokumentuje schemat komunikatów dziennika systemowego i definicje zdarzeń.

Schemat komunikatu dziennika systemowego

Usługa przesyłania dalej dziennika systemu infrastruktury usługi Azure Stack HCI wysyła komunikaty sformatowane zgodnie z protokołem dziennika systemowego BSD zdefiniowanym w RFC3164. Format CEF służy również do formatowania ładunku komunikatu dziennika systemowego.

Każdy komunikat dziennika systemowego jest ustrukturyzowany na podstawie tego schematu: Priorytet (PRI) | Czas | Host | Ładunek CEF |

Część PRI zawiera dwie wartości: obiekt i ważność. Oba zależą od typu komunikatu, takiego jak zdarzenie systemu Windows itp.

Schemat/definicje ładunku w formacie common Event Format

Ładunek formatu common event format (CEF) jest oparty na poniższej strukturze. Mapowanie dla każdego pola różni się w zależności od typu komunikatu, takiego jak zdarzenie systemu Windows itp.

CEF: |Wersja | Dostawca urządzenia | Produkt urządzenia | Wersja urządzenia | Identyfikator podpisu | Nazwa | Ważność | Rozszerzenia |

• Wersja: 0.0
• Dostawca urządzenia: Microsoft
• Produkt urządzenia: Microsoft Azure Stack HCI
• Wersja urządzenia: 1.0

Mapowanie i przykłady zdarzeń systemu Windows

Wszystkie zdarzenia systemu Windows używają wartości obiektu PRI 10.

• Identyfikator podpisu: ProviderName:EventID
• Nazwa: TaskName
• Ważność: poziom. Aby uzyskać szczegółowe informacje, zobacz poniższą tabelę Ważność.
• Rozszerzenie: niestandardowa nazwa rozszerzenia. Aby uzyskać szczegółowe informacje, zapoznaj się z poniższą tabelą.

Ważność zdarzeń systemu Windows

Wartość ważności pri	Wartość ważności cef	Poziom zdarzeń systemu Windows	Wartość MasLevel (w rozszerzeniu)
7	0	Niezdefiniowane	Wartość: 0. Wskazuje dzienniki na wszystkich poziomach.
2	10	Krytyczne	Wartość: 1. Wskazuje dzienniki alertu krytycznego.
3	8	Błąd	Wartość: 2. Wskazuje dzienniki błędu.
4	5	Ostrzeżenie	Wartość: 3. Wskazuje dzienniki ostrzeżenia.
6	2	Informacje	Wartość: 4. Wskazuje dzienniki komunikatu informacyjnego.
7	0	Pełny	Wartość: 5. Wskazuje dzienniki pełnej wiadomości.

Rozszerzenia niestandardowe i zdarzenia systemu Windows w usłudze Azure Stack HCI

Niestandardowa nazwa rozszerzenia	Zdarzenie systemu Windows
MasChannel	System
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	Ustawienia zasady grupy użytkownika zostały pomyślnie przetworzone. Od ostatniego pomyślnego przetwarzania zasady grupy nie wykryto żadnych zmian.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Powodzenie inspekcji
MasLevel	4
MasOpcode	1
MasOpcodeName	informacje o
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Tworzenie procesu
MasUserData	KB4093112!! 5112!! Zainstalowana!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Zdarzenia różne

Różne zdarzenia, które są przekazywane. Nie można dostosować tych zdarzeń.

Typ zdarzenia	Zapytanie o zdarzenie
Zdarzenia uwierzytelniania bezprzewodowej sieci Lan 802.1x z równorzędnym adresem MAC	query="Security!*[System[(EventID=5632)]]"
Nowa usługa (4697)	query="Security!*[System[(EventID=4697)]"
Ponowne połączenie sesji TS (4778), rozłączanie sesji TS (4779)	query="Security!*[System[(EventID=4778 lub EventID=4779)]"
Dostęp do obiektu udziału sieciowego bez udziałów IPC$ i Netlogon	query="Security! [System[(EventID=5140)] i EventData[Data[@Name='ShareName']!='\\IPC$'] i EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Zmiana czasu systemu (4616)	query="Security!*[System[(EventID=4616)]"
Logowania lokalne bez zdarzeń sieci lub usługi	query="Security!*[System[(EventID=4624)] i EventData[Data[@Name='LogonType']!='3'] i EventData[Data[@Name='LogonType']!='5']]"
Zdarzenia wyczyszczone w dzienniku zabezpieczeń (1102), zamknięcie usługi EventLog (1100)	query="Security!*[System[(EventID=1102 lub EventID=1100)]"
Logowanie inicjowane przez użytkownika	query="Security!*[System[(EventID=4647)]"
Wylogowywanie użytkownika dla wszystkich sesji logowania nienależących do sieci	query="Security!*[System[(EventID=4634)] i EventData[Data[@Name='LogonType'] != '3']]"
Zdarzenia logowania usługi, jeśli konto użytkownika nie jest LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] i EventData[Data[@Name='LogonType']='5'] i EventData[Data[@Name='TargetUserSid'] != 'S-1-5-1-18'] i EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] i EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']"
Tworzenie udziału sieciowego (5142), usuwanie udziału sieciowego (5144)	query="Security!*[System[(EventID=5142 lub EventID=5144)]"
Tworzenie procesu (4688)	query="Security!*[System[EventID=4688]]"
Zdarzenia usługi dziennika zdarzeń specyficzne dla kanału zabezpieczeń	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]"
Uprawnienia specjalne (Administracja równoważnego dostępu) przypisane do nowego logowania, z wyłączeniem systemu lokalnego	query="Security!*[System[(EventID=4672)] i EventData[Data[1] != 'S-1-5-18']"
Nowy użytkownik dodany do lokalnej, globalnej lub uniwersalnej grupy zabezpieczeń	query="Security!*[System[(EventID=4732 lub EventID=4728 lub EventID=4756)]"
Użytkownik usunięty z lokalnej grupy administratorów	query="Security!*[System[(EventID=4733)] i EventData[Data[@Name='TargetUserName']='Administratorzy']"
Usługi certyfikatów otrzymały żądanie certyfikatu (4886), Zatwierdzone i Wystawione certyfikaty (4887), Żądanie odmowy (4888)	query="Security!*[System[(EventID=4886 lub EventID=4887 lub EventID=4888)]"
Utworzone nowe konto użytkownika (4720), włączone konto użytkownika (4722), wyłączone konto użytkownika (4725), usunięte konto użytkownika (4726)	query="Security!*[System[(EventID=4720 lub EventID=4722 lub EventID=4725 lub EventID=4726)]"
Stare zdarzenia chroniące przed złośliwym oprogramowaniem, ale wykrywają tylko zdarzenia (zmniejsza szum)	query="System!*[System[Dostawca[@Name='Microsoft Antimalware'] i (EventID >= 1116 i EventID <= 1119)]"
Uruchamianie systemu (12 — obejmuje system operacyjny/sp/wersja) i zamykanie	query="System!*[System[Dostawca[@Name='Microsoft-Windows-Kernel-General'] i (EventID=12 lub EventID=13)]"
Instalacja usługi (7000), niepowodzenie uruchamiania usługi (7045)	query="System!*[System[Dostawca[@Name='Service Control Manager'] i (EventID = 7000 lub EventID=7045)]"
Zamykanie żądań inicjowania z użytkownikiem, procesem i przyczyną (jeśli podano)	query="System!*[System[Dostawca[@Name='USER32'] i (EventID=1074)]"
Zdarzenia usługi dziennika zdarzeń	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]"
Inne wyczyszczone zdarzenia dziennika (104)	query="System!*[System[(EventID=104)]]"
Zdarzenia ochrony przed programami EMET/Exploit Protection	query="Application!*[System[Provider[@Name='EMET']]"
Zdarzenia usługi WER tylko w przypadku awarii aplikacji	query="Application!*[System[Provider[@Name='Raportowanie błędów systemu Windows']] i EventData[Data[3]='APPCRASH']]"
Logowanie użytkownika przy użyciu profilu tymczasowego (1511) nie może utworzyć profilu przy użyciu profilu tymczasowego (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 lub EventID=1518)]"
Zdarzenia awarii/zawieszenia aplikacji, podobne do WER/1001. Obejmują one pełną ścieżkę do błędu EXE/Module.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] lub System[Provider[@Name='Application Hang'] and (EventID=1002)]"
Zadanie harmonogramu zadań zarejestrowane (106), usunięto rejestrację zadań (141), usunięto zadanie (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Dostawca[@Name='Microsoft-Windows-TaskScheduler'] i (EventID=106 lub EventID=141 lub EventID=142 )]]"
Wykonywanie aplikacji spakowanych za pomocą funkcji AppLocker (nowoczesnego interfejsu użytkownika)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Instalacja aplikacji spakowanej za pomocą funkcji AppLocker (nowoczesnego interfejsu użytkownika)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Próba nawiązania połączenia z serwerem zdalnym w dzienniku	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Pobiera wszystkie zdarzenia weryfikacji Card-Holder karty inteligentnej (CHV) (powodzenie i niepowodzenie) wykonane na hoście.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Pobiera wszystkie połączenia UNC/zamapowane na dysku	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 lub EventID=30624)]"
Nowoczesny dostawca zdarzeń SysMon	query="Microsoft-Windows-Sysmon/Operational!*"
Nowoczesne Windows Defender zdarzenia wykrywania dostawcy zdarzeń (1006-1009) i (1116-1119); plus (5001,5010,5012) według klientów	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 i EventID <= 1009) lub (EventID >= 1116 i <EventID = 1119) lub (EventID = 5001 lub EventID = 5010 lub EventID = 5012) )]"
Zdarzenia integralności kodu	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] i (EventID=3076 lub EventID=3077)]"
Usługa zatrzymania/uruchamiania zdarzeń urzędu certyfikacji zatrzymana (4880), uruchomiona usługa urzędu certyfikacji (4881), wiersze bazy danych urzędu certyfikacji usunięte (4896), załadowany szablon urzędu certyfikacji (4898)	query="Security!*[System[(EventID=4880 lub EventID = 4881 lub EventID = 4896 lub EventID = 4898)]"
Zdarzenia usługi RRAS — generowane tylko na serwerze IAS firmy Microsoft	query="Security!*[System[( (EventID >= 6272 i EventID <= 6280) )]"
Zakończenie procesu (4689)	query="Security!*[System[(EventID = 4689)]]"
Zdarzenia zmodyfikowane rejestru dla operacji: Utworzono nową wartość rejestru (%1904), zmodyfikowano istniejącą wartość rejestru (%1905), usunięto wartość rejestru (%1906)	query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%1904'] lub EventData[Data[@Name='OperationType'] = '%%1905'] lub EventData[data[@Name='OperationType'] = '%1906']]"
Żądanie uwierzytelnienia w sieci bezprzewodowej (w tym peer MAC (5632))	query="Security!*[System[(EventID=5632)]]"
Nowe urządzenie zewnętrzne zostało rozpoznane przez system (6416)	query="Security!*[System[(EventID=6416)]"
Zdarzenia uwierzytelniania usługi RADIUS Przypisany adres IP użytkownika (20274), Pomyślnie uwierzytelniony użytkownik (20250), Odłączony użytkownik (20275)	query="System!*[System[Dostawca[@Name='RemoteAccess'] i (EventID=20274 lub EventID=20250 lub EventID=20275)]"
Łańcuch kompilacji zdarzeń CAPI (11), dostęp do klucza prywatnego (70), obiekt X509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 lub EventID=70 lub EventID=90)]"
Grupy przypisane do nowego logowania (z wyjątkiem dobrze znanych, wbudowanych kont)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] i EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] i EventData[Data[Dane[@Name='TargetUserSid'] != 'S-1-5-18'] i EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']"
Zdarzenia klienta DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] i EventData[Data[@Name='QueryOptions'] != '140737488355328'] i EventData[Data[@Name='QueryResults']=']]"
Wykrywanie załadowanych sterowników User-Mode — w celu wykrycia potencjalnego błędu BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]"
Szczegóły wykonywania potoku starszej wersji programu PowerShell (800)	query="Windows PowerShell!*[System[(EventID=800)]"
Zdarzenia zatrzymane w usłudze Defender	query="System!*[System[(EventID=7036)] i EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] and EventData[Data[@Name='param2']='stopped']]"
Zdarzenia zarządzania funkcją BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Następne kroki

Dowiedz się więcej na następujące tematy:

• Ustawienia punktu odniesienia zabezpieczeń dla usługi Azure Stack HCI.
• Windows Defender Kontrola aplikacji dla usługi Azure Stack HCI.
• Funkcja BitLocker dla rozwiązania Azure Stack HCI.