Gerenciar o encaminhamento de syslog para o Azure Stack HCI

Aplica-se a: Azure Stack HCI, versão 23H2

Este artigo descreve como configurar eventos de segurança a serem encaminhados para um sistema SIEM (gerenciamento de eventos e informações de segurança) gerenciado pelo cliente usando o protocolo syslog para o Azure Stack HCI, versão 23H2 (versão prévia).

Use o encaminhamento de syslog para integrar-se a soluções de monitoramento de segurança e recuperar logs de eventos de segurança relevantes para armazená-los para retenção em sua própria plataforma SIEM. Para obter mais informações sobre recursos de segurança nesta versão, consulte Recursos de segurança para o Azure Stack HCI, versão 23H2 (versão prévia).

Configurar o encaminhamento de syslog

Os agentes de encaminhamento do Syslog são implantados em cada host do Azure Stack HCI por padrão, prontos para serem configurados. Cada um dos agentes encaminhará eventos de segurança no formato syslog do host para o servidor syslog configurado pelo cliente.

Os agentes de encaminhamento do Syslog trabalham independentemente uns dos outros, mas podem ser gerenciados todos juntos em qualquer um dos hosts. Use cmdlets do PowerShell com privilégios administrativos em qualquer host para controlar o comportamento de todos os agentes encaminhador.

O encaminhador do syslog no Azure Stack HCI dá suporte às seguintes configurações:

• Encaminhamento de Syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS 1.2: Nessa configuração, o servidor syslog e o cliente syslog verificam a identidade um do outro por meio de certificados. As mensagens são enviadas por um canal criptografado TLS 1.2. Para obter mais informações, consulte Encaminhamento de Syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS 1.2.

• Encaminhamento de Syslog com TCP, autenticação de servidor e criptografia TLS 1.2: Nessa configuração, o cliente syslog verifica a identidade do servidor syslog por meio de um certificado. As mensagens são enviadas por um canal criptografado TLS 1.2. Para obter mais informações, consulte Encaminhamento de Syslog com TCP, autenticação de servidor e criptografia TLS 1.2.

• Encaminhamento de Syslog com TCP e sem criptografia: Nessa configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por TCP. Para obter mais informações, consulte Encaminhamento de Syslog com TCP e sem criptografia.

• Syslog com UDP e sem criptografia: Nessa configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não criptografado por UDP. Para obter mais informações, consulte Encaminhamento de Syslog com UDP e sem criptografia.

  Importante

  Para proteger contra ataques man-in-the-middle e escutar mensagens, a Microsoft recomenda fortemente que você use tcp com autenticação e criptografia em ambientes de produção.

Cmdlets para configurar o encaminhamento de syslog

A configuração do encaminhador do syslog requer acesso ao host físico usando uma conta de administrador de domínio. Um conjunto de cmdlets do PowerShell foi adicionado a todos os hosts do Azure Stack HCI para controlar o comportamento do encaminhador do syslog.

O Set-AzSSyslogForwarder cmdlet é usado para definir a configuração do encaminhador do syslog para todos os hosts. Se tiver êxito, uma instância de plano de ação será iniciada para configurar os agentes encaminhador do syslog em todos os hosts. A ID da instância do plano de ação será retornada.

Use o seguinte cmdlet para passar as informações do servidor syslog para o encaminhador e configurar o protocolo de transporte, a criptografia, a autenticação e o certificado opcional usado entre o cliente e o servidor:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Parâmetros de cmdlets

A tabela a seguir fornece parâmetros para o Set-AzSSyslogForwarder cmdlet :

Parâmetro	Descrição	Type	Obrigatório
ServerName	FQDN ou endereço IP do servidor syslog.	String	Sim
ServerPort	Número da porta em que o servidor syslog está escutando.	UInt16	Sim
NoEncryption	Force o cliente a enviar mensagens syslog em texto não criptografado.	Sinalizador	No
SkipServerCertificateCheck	Ignore a validação do certificado fornecido pelo servidor de syslog durante o handshake TLS inicial.	Sinalizador	No
SkipServerCNCheck	Ignore a validação do valor Nome Comum do certificado fornecido pelo servidor de syslog durante o handshake TLS inicial.	Sinalizador	No
UseUDP	Use o syslog com UDP como protocolo de transporte.	Sinalizador	No
ClientCertificateThumbprint	Impressão digital do certificado do cliente usado para se comunicar com o servidor syslog.	String	Não
OutputSeverity	Nível de registro de log de saída. Os valores são Padrão ou Detalhado. O padrão inclui níveis de severidade: aviso, crítico ou erro. Detalhado inclui todos os níveis de severidade: detalhado, informacional, aviso, crítico ou erro.	String	No
Remover	Remova a configuração atual do encaminhador do syslog e pare o encaminhador do syslog.	Sinalizador	No

Encaminhamento de Syslog com TCP, autenticação mútua (cliente e servidor) e criptografia TLS 1.2

Nessa configuração, o cliente syslog no Azure Stack HCI encaminha mensagens para o servidor syslog por TCP com criptografia TLS 1.2. Durante o handshake inicial, o cliente verifica se o servidor fornece um certificado válido e confiável. O cliente também fornece um certificado para o servidor como prova de sua identidade.

Essa configuração é a mais segura, pois fornece validação completa da identidade do cliente e do servidor e envia mensagens por um canal criptografado.

Importante

A Microsoft recomenda que você use essa configuração para ambientes de produção.

Para configurar o encaminhador do syslog com TCP, autenticação mútua e criptografia TLS 1.2, configure o servidor e forneça certificado ao cliente para autenticar no servidor.

Execute o seguinte cmdlet em um host físico:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Importante

O certificado do cliente deve conter uma chave privada. Se o certificado do cliente for assinado usando um certificado raiz autoassinado, você também deverá importar o certificado raiz.

Encaminhamento de Syslog com TCP, autenticação de servidor e criptografia TLS 1.2

Nessa configuração, o encaminhador syslog no Azure Stack HCI encaminha as mensagens para o servidor syslog por TCP com criptografia TLS 1.2. Durante o handshake inicial, o cliente também verifica se o servidor fornece um certificado válido e confiável.

Essa configuração impede que o cliente envie mensagens para destinos não confiáveis. O TCP usando autenticação e criptografia é a configuração padrão e representa o nível mínimo de segurança que a Microsoft recomenda para um ambiente de produção.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Se você quiser testar a integração do servidor syslog com o encaminhador de syslog do Azure Stack HCI usando um certificado autoassinado ou não confiável, use esses sinalizadores para ignorar a validação do servidor feita pelo cliente durante o handshake inicial.

1. Ignore a validação do valor nome comum no certificado do servidor. Use esse sinalizador se você fornecer um endereço IP para o servidor syslog.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Ignore a validação do certificado do servidor.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Importante

   A Microsoft recomenda que você não use o -SkipServerCertificateCheck sinalizador em ambientes de produção.

Encaminhamento de Syslog com TCP e sem criptografia

Nessa configuração, o cliente syslog no Azure Stack HCI encaminha mensagens para o servidor syslog por TCP sem criptografia. O cliente não verifica a identidade do servidor nem fornece sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Importante

A Microsoft recomenda que você não use essa configuração em ambientes de produção.

Encaminhamento de Syslog com UDP e sem criptografia

Nessa configuração, o cliente syslog no Azure Stack HCI encaminha mensagens para o servidor syslog por UDP, sem criptografia. O cliente não verifica a identidade do servidor nem fornece sua própria identidade ao servidor para verificação.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Embora o UDP sem criptografia seja o mais fácil de configurar, ele não fornece nenhuma proteção contra ataques man-in-the-middle ou interceptação de mensagens.

Importante

A Microsoft recomenda que você não use essa configuração em ambientes de produção.

Habilitar o encaminhamento de syslog

Execute o seguinte cmdlet para habilitar o encaminhamento de syslog:

Enable-AzSSyslogForwarder [-Force]

O encaminhador do Syslog será habilitado com a configuração armazenada fornecida pela última chamada bem-sucedida Set-AzSSyslogForwarder . O cmdlet falhará se nenhuma configuração tiver sido fornecida usando Set-AzSSyslogForwarder.

Desabilitar o encaminhamento de syslog

Execute o seguinte cmdlet para desabilitar o encaminhamento de syslog:

Disable-AzSSyslogForwarder [-Force] 

Parâmetro para Enable-AzSSyslogForwarder cmdlets e Disable-AzSSyslogForwarder :

Parâmetro	Descrição	Type	Obrigatório
Force	Se especificado, um plano de ação sempre será disparado mesmo que o estado de destino seja o mesmo que o atual. Isso pode ser útil para redefinir alterações fora de banda.	Sinalizador	No

Verificar a configuração do syslog

Depois de conectar com êxito o cliente syslog ao servidor syslog, você começará a receber notificações de eventos. Se você não vir notificações, verifique a configuração do encaminhador do syslog do cluster executando o seguinte cmdlet:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Cada host tem seu próprio agente encaminhador do syslog que usa uma cópia local da configuração do cluster. Espera-se que elas sejam sempre iguais à configuração do cluster. Você pode verificar a configuração atual em cada host usando o seguinte cmdlet:

Get-AzSSyslogForwarder -PerNode 

Você também pode usar o seguinte cmdlet para verificar a configuração no host ao qual você está conectado:

Get-AzSSyslogForwarder -Local

Parâmetros de cmdlet para o Get-AzSSyslogForwarder cmdlet:

Parâmetro	Descrição	Type	Obrigatório
Local	Mostrar a configuração usada atualmente no host atual.	Sinalizador	No
PerNode	Mostrar a configuração usada no momento em cada host.	Sinalizador	No
Cluster	Mostrar a configuração global atual no Azure Stack HCI. Esse será o comportamento padrão se nenhum parâmetro for fornecido.	Sinalizador	No

Remover encaminhamento de syslog

Execute o seguinte comando para remover a configuração do encaminhador do syslog e parar o encaminhador do syslog:

Set-AzSSyslogForwarder -Remove 

Referência de esquema de mensagem e log de eventos

O material de referência a seguir documenta o esquema de mensagens do syslog e as definições de evento.

Esquema de mensagem do Syslog

O encaminhador de syslog da infraestrutura do Azure Stack HCI envia mensagens formatadas seguindo o protocolo Syslog BSD definido em RFC3164. O CEF também é usado para formatar o conteúdo da mensagem do syslog.

Cada mensagem do syslog é estruturada com base neste esquema: Prioridade (PRI) | Hora | Host | Conteúdo do CEF |

A parte PRI contém dois valores: instalação e gravidade. Ambos dependem do tipo de mensagem, como o Evento do Windows etc.

Esquema/definições de conteúdo de formato de evento comum

O conteúdo do CEF (Common Event Format) baseia-se na estrutura a seguir. O mapeamento para cada campo varia dependendo do tipo de mensagem, como Evento do Windows etc.

CEF: |Versão | Fornecedor de dispositivos | Produto do dispositivo | Versão do dispositivo | ID da assinatura | Nome | Gravidade | Extensões |

• Versão: 0.0
• Fornecedor de dispositivos: Microsoft
• Produto do dispositivo: Microsoft Azure Stack HCI
• Versão do dispositivo: 1.0

Exemplos e mapeamento de eventos do Windows

Todos os eventos do Windows usam o valor 10 do recurso PRI.

• ID da assinatura: ProviderName:EventID
• Nome: TaskName
• Gravidade: Nível. Para obter detalhes, consulte a tabela Severidade a seguir.
• Extensão: nome da extensão personalizada. Para obter detalhes, consulte a tabela a seguir.

Gravidade dos eventos do Windows

Valor de severidade pri	Valor de severidade do CEF	Nível de evento do Windows	Valor de MasLevel (na extensão)
7	0	Indefinido	Valor: 0. Indica os logs em todos os níveis.
2	10	Crítico	Valor: 1. Indica os logs para um alerta crítico.
3	8	Erro	Valor: 2. Indica os logs de erro.
4	5	Aviso	Valor: 3. Indica os logs para um aviso.
6	2	Informações	Valor: 4. Indica os logs para uma mensagem informativa.
7	0	Detalhado	Valor: 5. Indica logs para uma mensagem detalhada.

Extensões personalizadas e eventos do Windows no Azure Stack HCI

Nome da extensão personalizada	evento do Windows
MasChannel	Sistema
MasComputador	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	As configurações de Política de Grupo para o usuário foram processadas com êxito. Não foi detectada nenhuma alteração desde o último processamento bem-sucedido de Política de Grupo.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Êxito na Auditoria
MasLevel	4
MasOpcode	1
MasOpcodeName	informações
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Criação de processos
MasUserData	KB4093112!! 5112!! Instalado!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Eventos diversos

Diversos eventos que são encaminhados. Esses eventos não podem ser personalizados.

Tipo de evento	Consulta de evento
Eventos de autenticação Wireless Lan 802.1x com endereço MAC par	query="Security!*[System[(EventID=5632)]]"
Novo serviço (4697)	query="Security!*[System[(EventID=4697)]]"
Reconexão da sessão TS (4778), desconexão da sessão TS (4779)	query="Security!*[System[(EventID=4778 ou EventID=4779)]]"
Acesso a objetos de compartilhamento de rede sem compartilhamentos IPC$ e Netlogon	query="Security! [System[(EventID=5140)] e EventData[Data[@Name='ShareName']!='\\IPC$'] e EventData[Data[@Name='ShareName']]!='\*\NetLogon']]"
Alteração de Hora do Sistema (4616)	query="Security!*[System[(EventID=4616)]]"
Logons locais sem eventos de rede ou serviço	query="Security!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']!='3'] e EventData[Data[@Name='LogonType']!='5']]"
Eventos limpos do Log de Segurança (1102), desligamento do Serviço EventLog (1100)	query="Security!*[System[(EventID=1102 ou EventID=1100)]]"
Logoff iniciado pelo usuário	query="Security!*[System[(EventID=4647)]]"
Logoff do usuário para todas as sessões de logon que não são de rede	query="Security!*[System[(EventID=4634)] e EventData[Data[@Name='LogonType'] != '3']]"
Eventos de logon de serviço se a conta de usuário não for LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] e EventData[Data[@Name='LogonType']='5'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
Criação de compartilhamento de rede (5142), exclusão de compartilhamento de rede (5144)	query="Security!*[System[(EventID=5142 ou EventID=5144)]]"
Criação de processo (4688)	query="Security!*[System[EventID=4688]]"
Eventos do serviço de log de eventos específicos do canal de segurança	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]"
Privilégios especiais (acesso Administração equivalente) atribuídos ao novo logon, excluindo LocalSystem	query="Security!*[System[(EventID=4672)] e EventData[Data[1] != 'S-1-5-18']]"
Novo usuário adicionado ao grupo de segurança local, global ou universal	query="Security!*[System[(EventID=4732 ou EventID=4728 ou EventID=4756)]]"
Usuário removido do grupo administradores local	query="Security!*[System[(EventID=4733)] e EventData[Data[@Name='TargetUserName']='Administrators']]"
Os Serviços de Certificado receberam solicitação de certificado (4886), Aprovado e Certificado emitido (4887), Solicitação negada (4888)	query="Security!*[System[(EventID=4886 ou EventID=4887 ou EventID=4888)]]"
Nova conta de usuário criada(4720), conta de usuário habilitada (4722), conta de usuário desabilitada (4725), conta de usuário excluída (4726)	query="Security!*[System[(EventID=4720 ou EventID=4722 ou EventID=4725 ou EventID=4726)]]"
Eventos antigos antimalware, mas detectam apenas eventos (reduz o ruído)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] e (EventID >= 1116 e EventID <= 1119)]]"
Inicialização do sistema (12 – inclui sistema operacional/SP/versão) e desligamento	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] e (EventID=12 ou EventID=13)]]"
Instalação do Serviço (7000), falha no início do serviço (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] e (EventID = 7000 ou EventID=7045)]]"
Solicitações de início de desligamento, com usuário, processo e motivo (se fornecido)	query="System!*[System[Provider[@Name='USER32'] e (EventID=1074)]]"
Eventos do serviço de log de eventos	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Outros eventos de log limpos (104)	query="System!*[System[(EventID=104)]]"
Eventos de proteção contra exploração/EMET	query="Application!*[System[Provider[@Name='EMET']]]"
Eventos WER somente para falhas de aplicativo	query="Application!*[System[Provider[@Name='Relatório de Erros do Windows']] e EventData[Data[3]='APPCRASH']]"
O usuário que está fazendo logon com o perfil Temporário (1511), não pode criar perfil, usando o perfil temporário (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] e (EventID=1511 ou EventID=1518)]]"
Eventos de falha/travamento do aplicativo, semelhantes ao WER/1001. Isso inclui o caminho completo para o EXE/Módulo com falha.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]]"
Tarefa registrada do agendador de tarefas (106), Registro de Tarefa Excluído (141), Tarefa Excluída (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] e (EventID=106 ou EventID=141 ou EventID=142 )]]"
Execução de aplicativo empacotado (interface do usuário moderna) do AppLocker	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
Instalação do aplicativo AppLocker empacotado (interface do usuário moderna)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Tentativa de conexão TS de log ao servidor remoto	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Obtém todos os eventos chv (verificação de cartão Card-Holder inteligente) (êxito e falha) executados no host.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Obtém toda a conexão bem-sucedida da unidade UNC/mapeada	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 ou EventID=30624)]]"
Provedor de eventos SysMon moderno	query="Microsoft-Windows-Sysmon/Operational!*"
Eventos modernos de detecção do provedor de eventos Windows Defender (1006-1009) e (1116-1119); mais (5001.5010.5012) req'd pelos clientes	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 e EventID <= 1009) ou (EventID >= 1116 e EventID <= 1119) ou (EventID = 5001 ou EventID = 5010 ou EventID = 5012) )]]"
Eventos de integridade de código	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] e (EventID=3076 ou EventID=3077)]]"
Ca stop/Start events CA Service Stopped (4880), CA Service Started (4881), CA DB row(s) deleted (4896), CA Template loaded (4898)	query="Security!*[System[(EventID=4880 ou EventID = 4881 ou EventID = 4896 ou EventID = 4898)]]"
Eventos RRAS – gerados somente no servidor IAS da Microsoft	query="Security!*[System[( (EventID >= 6272 e EventID <= 6280) )]]"
Término do processo (4689)	query="Security!*[System[(EventID = 4689)]]"
Eventos modificados pelo Registro para Operações: Novo Valor do Registro criado (%%1904), Valor do Registro Existente modificado (%%1905), Valor do Registro Excluído (%%1906)	query="Security!*[System[(EventID=4657)] e (EventData[Data[@Name='OperationType'] = '%%1904'] ou EventData[Data[@Name='OperationType'] = '%%1905'] ou EventData[Data[@Name='OperationType'] = '%%1906'])]"
Solicitação feita para autenticar na rede sem fio (incluindo MAC par (5632))	query="Security!*[System[(EventID=5632)]]"
Um novo dispositivo externo foi reconhecido pelo System(6416)	query="Security!*[System[(EventID=6416)]]"
Eventos de autenticação RADIUS Endereço IP atribuído pelo usuário (20274), Usuário autenticado com êxito (20250), Usuário Desconectado (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] e (EventID=20274 ou EventID=20250 ou EventID=20275)]]"
Eventos CAPI Cadeia de Build (11), Chave Privada acessada (70), objeto X509 (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 ou EventID=70 ou EventID=90)]]"
Grupos atribuídos a um novo logon (exceto para contas internas conhecidas)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] e EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]"
Eventos de cliente DNS	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] e EventData[Data[@Name='QueryOptions'] != '140737488355328'] e EventData[Data[@Name='QueryResults']='']]"
Detectar User-Mode drivers carregados – para uma possível detecção de BadUSB.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Detalhes de execução de pipeline do PowerShell herdado (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
Eventos interrompidos pelo Defender	query="System!*[System[(EventID=7036)] e EventData[Data[@Name='param1']='Microsoft Defender Serviço de Inspeção de Rede Antivírus'] e EventData[Data[@Name='param2']='stopped']]"
Eventos de gerenciamento do BitLocker	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Próximas etapas

Saiba mais sobre:

• Configurações de linha de base de segurança para o Azure Stack HCI.
• Windows Defender o Controle de Aplicativos para o Azure Stack HCI.
• BitLocker para Azure Stack HCI.