Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono zagadnienia dotyczące zabezpieczeń i przepisy dotyczące zgodności dotyczące rozłączonych operacji z lokalnymi maszynami wirtualnymi platformy Azure włączonymi przez usługę Azure Arc. Dowiedz się, jak chronić środowisko i spełniać standardy prawne podczas uruchamiania lokalnych maszyn wirtualnych platformy Azure bez połączenia.
Ważne
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Zobacz dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure.
Omówienie zabezpieczeń i zgodności
Usługa Azure Local z odłączonymi operacjami spełnia wymagania dotyczące zabezpieczeń i zgodności przy użyciu zablokowanego urządzenia maszyny wirtualnej, które jest dostępne tylko za pomocą następujących metod:
- Karta interfejsu sieciowego zarządzania : umożliwia uruchamianie ograniczonego zestawu poleceń na potrzeby wdrażania i rozwiązywania problemów. Jest ona zabezpieczona przy użyciu certyfikatu dostarczonego przez klienta podczas uruchamiania. Aby uzyskać więcej informacji, zobacz Planowanie sieci pod kątem rozłączonych operacji.
- Zewnętrzna karta sieciowa (ruch przychodzący): uwidoczniona dla użytkowników w sieci. Ta ścieżka sieciowa dotyczy dzierżaw i usług systemu. Uwierzytelnianie użytkownika korzysta z dostawcy tożsamości i kontroli dostępu opartej na rolach. Aby uzyskać więcej informacji, zobacz Planowanie tożsamości dla rozłączonych operacji.
Lokalna maszyna wirtualna platformy Azure z uruchomionymi operacjami rozłączenia korzysta z następujących funkcji zabezpieczeń:
- Transport Layer Security (TLS) 1.2, TLS 1.3, Datagram Transport Layer Security (DTLS) 1.2 i podpisane szyfrowanie protokołu Bloku komunikatów serwera (SMB) dla wszystkich danych przesyłanych.
- Usługa Microsoft Defender chroni przed wirusami i złośliwym oprogramowaniem.
- Bezpieczny rozruch sprawdza integralność składników rozruchu.
- Funkcja Windows Defender Application Control umożliwia uruchamianie tylko autoryzowanego kodu na urządzeniu maszyny wirtualnej bez połączenia operacji.
Aby uzyskać więcej informacji na temat funkcji zabezpieczeń dla usługi Azure Local, zobacz Funkcje zabezpieczeń dla platformy Azure Local.
Szyfrowanie danych w stanie spoczynku
Domyślnie woluminy danych w lokalnym urządzeniu maszyny wirtualnej bez połączenia platformy Azure są szyfrowane za pomocą funkcji BitLocker przy użyciu szyfrowania AES-XTS256 bitowego. Hasła odzyskiwania funkcji BitLocker (funkcje ochrony kluczy) pozostają w wewnętrznym bezpiecznym magazynie wpisów tajnych.
Pobieranie klucza odzyskiwania funkcji BitLocker
Usługa Azure Local z operacjami bez połączenia zarządza hasłami odzyskiwania funkcji BitLocker na potrzeby szyfrowania danych magazynowanych. Nie musisz podawać tych haseł dla zwykłych operacji ani podczas uruchamiania systemu. Jednak scenariusze pomocy technicznej mogą wymagać wprowadzenia tych haseł w tryb online. Bez tych haseł niektóre scenariusze pomocy technicznej mogą spowodować utratę danych i wymagać ponownego wdrożenia systemu.
Wykonaj następujące kroki, aby uzyskać hasła odzyskiwania funkcji BitLocker:
Zaimportuj
Azure.Local.DisconnectedOperations.psd1moduł.# Import-Module (if not already done): Import-Module "C:\azurelocal\OperationsModule\Azure.Local.DisconnectedOperations.psd1" -ForceUstaw kontekst. Polecenie wymaga
DisconnectedOperationsClientContextobiektu jako parametru.$password = ConvertTo-SecureString "RETRACTED" -AsPlainText -Force $context = Set-DisconnectedOperationsClientContext -ManagementEndpointClientCertificatePath "${env:localappdata}\AzureLocalOpModuleDev\certs\ManagementEndpoint\ManagementEndpointClientAuth.pfx" -ManagementEndpointClientCertificatePassword $password -ManagementEndpointIpAddress "169.254.53.25"Uruchom
Get-ApplianceBitLockerRecoveryKeysna interfejsie zarządzania.$recoveryKeys = Get-ApplianceBitlockerRecoveryKeys $context $recoveryKeys.recoverykeysetOto przykład danych wyjściowych:
protectorid recoverypassword ----------- ---------------- {DCA51B1F-F694-439E-BC8D-63AC83F956F9} 1141015-055275-382305-1911114-363957-150975-55 {264FB985-6E36-466F-94DD-2F2D8328C9F8} 186516-209792-097229-117040-638286-147048-26 {CABBDD12-1EDE-4C4D-9985-326F77490E60} 510950-025762-385451-679074-429990-493845-49 {067ECC8D-DD78-133E-9886-FA2DC695F6C3} 177397-082045-290301-199375-309676-673838-67 {9C658F04-83A8-496D-9107-DE6ECC770E82} 653796-380369-402963-237864-1486629-485254-00 {8F84B18A-670E-4B3E-A194-0C6ABA022083} 604494-676940-630740-390940-155859-514789-56Pobierz hasła odzyskiwania funkcji BitLocker i zapisz je w bezpiecznej lokalizacji poza lokalną platformą Azure lub hostem lokalnym platformy Azure.
Jeśli w systemie występują problemy z funkcją BitLocker, takie jak usługa Azure Local z nieudanymi operacjami rozłączenia, skontaktuj się z pomocą techniczną i podaj hasła odzyskiwania funkcji BitLocker.
Ręcznie odblokuj wirtualny dysk twardy lub wirtualny dysk pamięci, używając haseł odzyskiwania BitLocker. Jeśli klucze odzyskiwania funkcji BitLocker nie są dostępne, należy ponownie wdrożyć odłączone urządzenie maszyny wirtualnej operacji.
Eksportowanie certyfikatów usługi Ochrona hosta
Ta procedura nie jest obsługiwana w wersji zapoznawczej.
Aby utworzyć kopię zapasową certyfikatów usługi Ochrona hosta z klastra, uruchom następujące polecenia z węzła inicjowania:
Ustaw kontekst. Polecenie wymaga
DisconnectedOperationsClientContextobiektu jako parametru.$password = ConvertTo-SecureString "RETRACTED" -AsPlainText -Force $context = Set-DisconnectedOperationsClientContext -ManagementEndpointClientCertificatePath "${env:localappdata}\AzureLocalOpModuleDev\certs\ManagementEndpoint\ManagementEndpointClientAuth.pfx" -ManagementEndpointClientCertificatePassword $password -ManagementEndpointIpAddress "169.254.53.25"Aby wyeksportować certyfikaty usługi Ochrona hosta do określonej ścieżki, uruchom polecenie
Export-ApplianceHGSCertificates.Export-ApplianceHGSCertificates -Path C:\AzureLocalDisconnectedOperations\HGSBackup
Konfigurowanie przekazywania dziennika systemowego
Możesz użyć protokołu syslog dla usługi Azure Local z odłączonym urządzeniem maszyny wirtualnej operacji, aby przekazać zdarzenia zabezpieczeń do systemu zarządzania informacjami i zdarzeniami zabezpieczeń zarządzanymi przez klienta (SIEM).
Agent dziennika systemowego odłączonego urządzenia maszyny wirtualnej operacji przekazuje zdarzenia zabezpieczeń w formacie dziennika systemowego z lokalnej maszyny wirtualnej platformy Azure do skonfigurowanego przez klienta serwera syslog.
Aby skonfigurować przekazywanie dziennika systemowego, zaloguj się do hosta fizycznego przy użyciu konta administratora domeny. Użyj poleceń GET i PUT HTTP, aby sprawdzić lub zmienić konfigurację przekazywania dziennika systemowego. Poniższe skrypty programu PowerShell pokazują, jak kontrolować usługę przesyłania dalej dziennika systemowego z hostów lokalnych platformy Azure. Możesz również użyć dowolnego klienta REST.
Aby uzyskać szczegółowe informacje na temat konfigurowania przekazywania dziennika systemowego dla hosta lokalnego platformy Azure, zobacz Zarządzanie przekazywaniem dziennika systemowego dla usługi Azure Local.
Parametry przekazywania dziennika systemowego
Poniższa tabela zawiera parametry punktu końcowego REST:
| Parameter | Opis | Typ | Required |
|---|---|---|---|
| Odcisk palca certyfikatu klienta | Odcisk palca certyfikatu klienta używanego do komunikowania się z serwerem syslog. | Sznurek | Nie. |
| Włączono | Włącza lub wyłącza agenta dziennika systemowego na lokalnym urządzeniu maszyny wirtualnej odłączonej od platformy Azure. Po wyłączeniu konfiguracja usługi przesyłania dalej dziennika systemowego zostanie usunięta, a usługa przesyłania dalej dziennika systemowego zostanie zatrzymana. | Flaga | Tak |
| NoEncryption | Wysyła komunikaty dziennika systemowego w postaci zwykłego tekstu. | Flaga | Nie. |
| Niezależnie od danych wyjściowych | Ustawia poziom rejestrowania danych wyjściowych. Użyj wartości Domyślnej dla komunikatów ostrzegawczych, krytycznych lub błędów. Użyj pełnej wartości dla wszystkich poziomów ważności, w tym pełnej, informacyjnej, ostrzegawczej, krytycznej lub błędu. | Sznurek | Nie. |
| Nazwa serwera | FQDN lub adres IP serwera syslog. | Sznurek | Nie. |
| ServerPort | Numer portu używany przez serwer syslog. | UInt16 | Nie. |
| SkipServerCertificateCheck | Pomija walidację certyfikatu serwera syslog podczas początkowego uzgadniania protokołu TLS. | Flaga | Nie. |
| SkipServerCNCheck | Pomija walidację wartości nazwy pospolitej w certyfikacie serwera syslog podczas początkowego uzgadniania protokołu TLS. | Flaga | Nie. |
| UseUDP | Używa protokołu UDP jako protokołu transportowego dla dziennika systemowego. | Flaga | Nie. |
Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu TCP, uwierzytelniania serwera i szyfrowania TLS
W tej konfiguracji usługa przesyłania dalej dziennika systemowego na platformie Azure lokalnie przekazuje komunikaty do serwera syslog za pośrednictwem protokołu TCP przy użyciu szyfrowania TLS. Podczas początkowego połączenia klient sprawdza również, czy serwer udostępnia prawidłowy, zaufany certyfikat.
Ta konfiguracja uniemożliwia klientowi wysyłanie komunikatów do niezaufanych miejsc docelowych. Domyślnie używany jest protokół TCP z uwierzytelnianiem i szyfrowaniem, co jest minimalnym poziomem zabezpieczeń zalecanym w środowisku produkcyjnym. Nie używaj flagi -SkipServerCertificateCheck w środowiskach produkcyjnych.
Aby włączyć przekazywanie dziennika systemowego przy użyciu protokołu TCP, uwierzytelniania serwera i szyfrowania TLS, przygotuj żądanie konfiguracji w programie PowerShell z następującymi wartościami:
$configRequestContent = @{
Enabled = $true
ServerName = "<FQDN or IP address of syslog server>"
ServerPort = "<port number of the syslog server, e.g., 514>"
}
Aby przetestować integrację z certyfikatem z podpisem własnym lub niezaufanym, użyj tych flag, aby pominąć walidację serwera podczas początkowego uzgadniania.
- Pomiń walidację wartości "Common Name" w certyfikacie serwera. Użyj tej flagi, jeśli wprowadzisz adres IP serwera syslog.
$configRequestContent = @{
...
SkipServerCNCheck = $true
}
- Pomiń walidację certyfikatu serwera. Użyj tej flagi, jeśli używasz certyfikatu z podpisem własnym dla serwera syslog.
$configRequestContent = @{
...
SkipServerCertificateCheck = $true
}
Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu TCP i bez szyfrowania
W tej konfiguracji klient dziennika systemu w usłudze Azure Local przekazuje komunikaty do serwera syslog za pośrednictwem protokołu TCP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości na potrzeby weryfikacji. Nie używaj tej konfiguracji w środowiskach produkcyjnych.
Aby włączyć przekazywanie dziennika systemowego przy użyciu protokołu TCP i bez szyfrowania, przygotuj żądanie konfiguracji w programie PowerShell z następującymi wartościami:
$configRequestContent = @{
Enabled = $true
ServerName = "<FQDN or IP address of syslog server>"
ServerPort = "<port number of the syslog server, e.g., 514>"
NoEncryption = $true
}
Ważne
Aby chronić przed atakami typu man-in-the-middle i podsłuchiwaniem, użyj protokołu TCP z uwierzytelnianiem i szyfrowaniem w środowiskach produkcyjnych. Uzgadnianie między punktami końcowymi określa wersję protokołu TLS, a protokoły TLS 1.2 i TLS 1.3 są domyślnie obsługiwane.
Konfigurowanie przekazywania dziennika systemowego przy użyciu protokołu UDP i bez szyfrowania
W tej konfiguracji klient dziennika systemu w usłudze Azure Local przekazuje komunikaty do serwera syslog za pośrednictwem protokołu UDP bez szyfrowania. Klient nie weryfikuje tożsamości serwera ani nie dostarcza własnej tożsamości na potrzeby weryfikacji. Nie używaj tej konfiguracji w środowiskach produkcyjnych.
Aby włączyć przekazywanie dziennika systemowego przy użyciu protokołu UDP i bez szyfrowania, przygotuj żądanie konfiguracji w programie PowerShell z następującymi wartościami:
$configRequestContent = @{
Enabled = $true
ServerName = "<FQDN or IP address of syslog server>"
ServerPort = "<port number of the syslog server, e.g., 514>"
UseUDP = $true
}
Protokół UDP bez szyfrowania jest najłatwiejszy do skonfigurowania, ale nie chroni przed atakami typu man-in-the-middle ani podsłuchiwaniem.
Zarządzanie przekazywaniem dziennika systemowego
Wyłączanie przekazywania dziennika systemowego
Aby wyłączyć przekazywanie dziennika systemowego, uruchom następujące polecenie cmdlet:
$configRequestContent = @{
Enabled = $false
ServerName = "<FQDN or IP address of syslog server>"
ServerPort = "<port number of the syslog server, e.g., 514>"
}
Aktualizacja konfiguracji dziennika systemowego
Po zdefiniowaniu konfiguracji wyślij żądanie konfiguracji, uruchamiając ten skrypt programu PowerShell:
$IRVMIP = "<Azure Local VM management endpoint IP address>"
$clientCertPath = "<path to client certificate pfx file for management endpoint>"
$clientCertPassword = "<client certificate password>"
$syslogConfigurationEndpoint = "https://$IRVMIP`:9443/sysconfig/SyslogConfiguration"
$clientCert = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($clientCertPath, $clientCertPassword)
$requestBody = $configRequestContent | ConvertTo-Json
Invoke-RestMethod -Certificate $clientCert -Uri $syslogConfigurationEndpoint -Method Put -Body $requestBody -ContentType "application/json" -Verbose
Weryfikacja konfiguracji dziennika systemowego
Po nawiązaniu połączenia klienta dziennika systemowego z serwerem syslog rozpoczniesz odbieranie powiadomień o zdarzeniach. Jeśli nie widzisz powiadomień, sprawdź konfigurację usługi przesyłania dalej dziennika systemowego klastra, uruchamiając następujące polecenie cmdlet:
$IRVMIP = "<Azure Local VM management endpoint IP address>"
$clientCertPath = "<path to client certificate pfx file for management endpoint>"
$clientCertPassword = "<client certificate password>"
$syslogConfigurationEndpoint = "https://$IRVMIP`:9443/sysconfig/SyslogConfiguration"
$clientCert = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($clientCertPath, $clientCertPassword)
Invoke-RestMethod -Certificate $clientCert -Uri $syslogConfigurationEndpoint -Method Get -ContentType "application/json" -Verbose
Jeśli właściwość ustawienia nie jest skonfigurowana, podczas pobierania bieżącej konfiguracji zobaczysz jej wartość domyślną.
Dokumentacja: Schemat komunikatów i dziennik zdarzeń
W tej sekcji opisano schemat komunikatów dziennika systemowego i definicje zdarzeń.
Schemat komunikatu dziennika systemowego
Usługa przesyłania dalej dziennika systemowego w infrastrukturze lokalnej platformy Azure wysyła komunikaty sformatowane przy użyciu protokołu syslogu Berkeley Software Distribution (BSD) zdefiniowanego w RFC3164. Ładunek komunikatu dziennika systemowego używa formatu Common Event Format (CEF).
Każdy komunikat dziennika systemowego używa tego schematu:
Priority (PRI) | Time | Host | CEF payload |
Część PRI ma dwie wartości: obiekt i ważność. Obie wartości zależą od typu komunikatu, takiego jak zdarzenie systemu Windows.
Schemat/definicje ładunku wspólnego formatu zdarzeń
Ładunek CEF używa następującej struktury. Mapowanie pól różni się w zależności od typu komunikatu, takiego jak zdarzenie systemu Windows.
CEF: |Version | Device Vendor | Device Product | Device Version | Signature ID | Name | Severity | Extensions |
- Wersja: 0.0
- Dostawca urządzenia: Microsoft
- Produkt urządzenia: Microsoft Azure Local
- Wersja urządzenia: 1.0
Mapowanie i przykłady zdarzeń systemu Windows
Wszystkie zdarzenia systemu Windows używają wartości obiektu PRI równej 10.
- Identyfikator podpisu: ProviderName:EventID
- Nazwa: TaskName
- Surowość: Poziom. Aby uzyskać szczegółowe informacje, zobacz poniższą tabelę ważności.
- Rozszerzenie: niestandardowa nazwa rozszerzenia. Aby uzyskać szczegółowe informacje, zobacz poniższą tabelę.
Ważność zdarzeń systemu Windows
| Wartość ciężkości PRI | Wartość dotkliwości CEF | Poziom zdarzenia w systemie Windows | Wartość MasLevel (w rozszerzeniu) |
|---|---|---|---|
| 7 | 0 | Niezdefiniowane | Wartość: 0. Wskazuje dzienniki na wszystkich poziomach. |
| 2 | 10 | Krytyczny | Wartość: 1. Wskazuje logi alertu krytycznego. |
| 3 | 8 | Błąd | Wartość: 2. Wskazuje dzienniki dotyczące błędów. |
| 4 | 5 | Ostrzeżenie | Wartość: 3. Wskazuje dzienniki ostrzeżenia. |
| 6 | 2 | Informacja | Wartość: 4. Wskazuje dzienniki komunikatu informacyjnego. |
| 7 | 0 | Pełne informacje | Wartość: 5. Wskazuje dzienniki dla szczegółowego komunikatu. |
Rozszerzenia niestandardowe i zdarzenia systemu Windows w środowisku lokalnym platformy Azure
| Niestandardowa nazwa rozszerzenia | Zdarzenie systemu Windows |
|---|---|
| MasChannel | System |
| MasComputer | test.azurestack.contoso.com |
| MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
| IdentyfikatorDziałaniaZwiązanegoZKorelacjąMas | C8F40D7C-3764-423B-A4FA-C994442238AF |
| MasEventData | svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000 |
| MasEventDescription | Ustawienia zasad grupy dla użytkownika zostały pomyślnie przetworzone. Od ostatniego pomyślnego przetwarzania zasad grupy nie wykryto żadnych zmian. |
| MasEventID | 1501 |
| MasEventRecordID | 26637 |
| MasExecutionProcessID | 29380 |
| MasExecutionThreadID | 25480 |
| MasKeywords | 0x8000000000000000 |
| MasKeywordName | Powodzenie inspekcji |
| MasLevel | 4 |
| MasOpcode | 1 |
| MasOpcodeName | Informacja |
| NazwaŹródłaZdarzeńMasProvider | |
| MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
| MasProviderName | Microsoft —Windows-GroupPolicy |
| MasSecurityUserId | Identyfikator SID systemu Windows |
| MasTask | 0 |
| WięcejKategoriaZadań | Tworzenie procesu |
| MasUserData | KB4093112!! 5112!! Zainstalowano!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
| MasVersion | 0 |
Różne zdarzenia
W tej sekcji wymieniono różne zdarzenia, które są przekazywane. Nie można dostosować tych zdarzeń.
| Typ zdarzenia | Zapytanie o wydarzenie |
|---|---|
| Zdarzenia uwierzytelniania sieci bezprzewodowej LAN 802.1x z adresem MAC współpracownika. | query="Security!*[System[(EventID=5632)]]" |
| Nowa usługa (4697) | query="Security!*[System[(EventID=4697)]]" |
| Ponowne połączenie sesji TS (4778), rozłączanie sesji TS (4779) | query="Security!*[System[(EventID=4778 or EventID=4779)]]" |
| Dostęp do obiektów udziału sieciowego bez udziałów IPC$ i Netlogon | query="Security![System[(EventID=5140)] and EventData[Data[@Name='ShareName']!='\\IPC$']]" |
| Zmiana czasu systemu (4616) | query="Security!*[System[(EventID=4616)]]" |
| Lokalne logowania bez zdarzeń sieciowych lub serwisowych | query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]" |
| Zdarzenia wyczyszczone w dzienniku zabezpieczeń (1102), zamknięcie usługi EventLog (1100) | query="Security!*[System[(EventID=1102 or EventID=1100)]]" |
| Wylogowanie zainicjowane przez użytkownika | query="Security!*[System[(EventID=4647)]]" |
| Wylogowanie użytkownika dla wszystkich sesji logowania niezwiązanych z siecią | query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]" |
| Zdarzenia logowania usługi, jeśli konto użytkownika nie jest LocalSystem, NetworkService, LocalService | query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]" |
| Tworzenie udziału sieciowego (5142), usuwanie udziału sieciowego (5144) | query="Security!*[System[(EventID=5142 or EventID=5144)]]" |
| Tworzenie procesu (4688) | query="Security!*[System[EventID=4688]]" |
| Zdarzenia usługi dziennika zdarzeń specyficzne dla kanału zabezpieczeń | query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]" |
| Uprawnienia specjalne (dostęp równoważny administratorowi) przypisane do nowego logowania, z wyłączeniem systemu lokalnego | query="Security!*[System[(EventID=4672)] and EventData[Data != 'S-1-5-18']]" |
| Nowy użytkownik dodany do lokalnej, globalnej lub uniwersalnej grupy zabezpieczeń | query="Security!*[System[(EventID=4732 or EventID=4728 or EventID=4756)]]" |
| Użytkownik usunięty z lokalnej grupy Administratorzy | query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]" |
| Usługi certyfikatów otrzymały żądanie certyfikatu (4886), zatwierdzone i wystawione certyfikaty (4887), żądanie odmowy (4888) | query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]" |
| Nowe konto użytkownika utworzone (4720), włączone konto użytkownika (4722), wyłączone konto użytkownika (4725), usunięte konto użytkownika (4726) | query="Security!*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]]" |
| Stare zdarzenia chroniące przed złośliwym oprogramowaniem, ale wykrywają tylko zdarzenia (zmniejsza szum) | query="System!*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119)]]" |
| Uruchamianie systemu (12 — obejmuje system operacyjny/sp/wersja) i zamykanie | query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]]" |
| Instalacja usługi (7000), niepowodzenie uruchamiania usługi (7045) | query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045)]]" |
| Żądania inicjowania zamknięcia, z użytkownikiem, procesem i przyczyną (jeśli podano) | query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]" |
| Zdarzenia związane z usługą dziennika zdarzeń | query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]" |
| Inne zdarzenia wyczyszczone w dzienniku (104) | query="System!*[System[(EventID=104)]]" |
| Zdarzenia zabezpieczenia (EMET) / ochrony przed exploitami | query="Application!*[System[Provider[@Name='EMET']]]" |
| Zdarzenia usługi WER dotyczące tylko awarii aplikacji | query="Application!*[System[Provider[@Name='Windows Error Reporting']] and EventData[Data='APPCRASH']]" |
| Logowanie użytkownika przy użyciu profilu tymczasowego (1511) nie może utworzyć profilu przy użyciu profilu tymczasowego (1518) | query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]]" |
| Zdarzenia awarii/zawieszenia aplikacji, podobne do WER/1001. Obejmują one pełną ścieżkę do EXE/Modułu powodującego błąd. | query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]]" |
| Zadanie harmonogramu zadań zarejestrowane (106), rejestracja zadania została usunięta (141), zadanie usunięte (142) | query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]" |
| Wykonywanie aplikacji spakowanych za pomocą funkcji AppLocker (nowoczesnego interfejsu użytkownika) | query="Microsoft-Windows-AppLocker/Packaged app-Execution!*" |
| Instalacja aplikacji spakowanej za pomocą funkcji AppLocker (nowoczesnego interfejsu użytkownika) | query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*" |
| Zaloguj próbę połączenia TS z serwerem zdalnym | query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]" |
| Pobiera wszystkie Smart-Card zdarzenia weryfikacji posiadacza karty (CHV) (powodzenie i niepowodzenie) wykonywane na hoście. | query="Microsoft-Windows-SmartCard-Audit/Authentication!*" |
| Pobiera wszystkie dyski UNC/mapowane z pomyślnie nawiązanymi połączeniami | query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 or EventID=30624)]]" |
| Nowoczesny dostawca zdarzeń SysMon | query="Microsoft-Windows-Sysmon/Operational!*" |
| Nowoczesne zdarzenia wykrywania dostawcy zdarzeń usługi Windows Defender (1006-1009) i (1116-1119); plus (5001,5010,5012) wymagane przez klientów | query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 and EventID <= 1009) or (EventID >= 1116 and EventID <= 1119) or (EventID = 5001 or EventID = 5010 or EventID = 5012) )]]" |
| Zdarzenia integralności kodu | query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and (EventID=3076 or EventID=3077)]]" |
| Zatrzymanie/uruchamianie zdarzeń urzędu certyfikacji zatrzymane (4880), usługa urzędu certyfikacji uruchomiona (4881), usunięte wiersze bazy danych urzędu certyfikacji (4896), załadowany szablon urzędu certyfikacji (4898) | query="Security!*[System[(EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898)]]" |
| Zdarzenia usługi RRAS — generowane tylko na serwerze IAS firmy Microsoft | query="Security!*[System[( (EventID >= 6272 and EventID <= 6280) )]]" |
| Zakończenie procesu (4689) | query="Security!*[System[(EventID = 4689)]]" |
| Zdarzenia zmodyfikowane rejestru dla operacji: nowa wartość rejestru utworzona (%%1904), istniejąca wartość rejestru zmodyfikowana (%%1905), usunięto wartość rejestru (%%1904) | query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] or EventData[Data[@Name='OperationType'] = '%%1905'] or EventData[Data[@Name='OperationType'] = '%%1906'])]" |
| Istniejąca wartość rejestru zmodyfikowana (%%1905), usunięto wartość rejestru (%%1906) | |
| Żądanie uwierzytelnienia w sieci bezprzewodowej (w tym peer MAC (5632)) | query="Security!*[System[(EventID=5632)]]" |
| Nowe urządzenie zewnętrzne zostało rozpoznane przez system (6416) | query="Security!*[System[(EventID=6416)]]" |
| Zdarzenia uwierzytelniania usługi RADIUS przypisany adres IP (20274), pomyślnie uwierzytelniony użytkownik (20250), użytkownik został odłączony (20275) | query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]]" |
| Łańcuch kompilacji zdarzeń CAPI (11), dostęp do klucza prywatnego (70), obiekt X509 (90) | query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 or EventID=70 or EventID=90)]]" |
| Grupy przypisane do nowego logowania (z wyjątkiem dobrze znanych, wbudowanych kont) | query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]" |
| Zdarzenia klienta DNS | query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']='']]" |
| Wykrywanie załadowanych sterowników trybu użytkownika — w celu potencjalnej detekcji BadUSB. | query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]" |
| Szczegóły wykonania starszego ciągu programu PowerShell (800) | query="Windows PowerShell!*[System[(EventID=800)]]" |
| Usługa Defender zatrzymała zdarzenia | query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] and EventData[Data[@Name='param2']='stopped']]" |
| Zdarzenia zarządzania funkcją BitLocker | query="Microsoft-Windows-BitLocker/BitLocker Management!*" |
Ta funkcja jest dostępna tylko w usłudze Azure Local 2506.