Consultas para a tabela SecurityEvent
IDs de evento mais comuns dos Eventos de Segurança
Essa consulta exibe uma lista decrescente da quantidade de eventos ingeridos por EventId para Auditoria de Segurança.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Membros adicionados a grupos de segurança
Quem foi adicionado ao grupo habilitado para segurança no último dia?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Usos de senha de texto não criptografado
Liste todas as contas que fizeram logon usando uma senha de texto não criptografado no último dia.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Logons com falha do Windows
Encontre relatórios de contas do Windows que falharam ao fazer logon.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Todas as Atividades de Segurança
Atividades de segurança classificadas por tempo (primeiro mais recente).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Atividades de segurança no dispositivo
Atividades de segurança em um dispositivo específico classificado por tempo (primeiro mais recente).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Atividades de segurança para Administração
Atividades de segurança em um dispositivo específico para administrador classificado por tempo (primeiro mais recente).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Atividade de logon por dispositivo
Conta as atividades de logon por dispositivo.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Dispositivos com mais de 10 logons
Conta as atividades de logon por dispositivos com mais de 10 logons.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Antimalware de contas encerradas
Contas que terminaram Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Dispositivos com Antimalware Encerrado
Dispositivos que terminaram Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Dispositivos em que o hash foi executado
Dispositivos em que hash.exe foi executado mais de 5 vezes.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Nomes de processo executados
Listas número de execuções por processo.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Dispositivos com log de segurança limpo
Dispositivos com log de proteção limpos.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Atividade de Logon por Conta
Atividade de logon por conta.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Contas com menos de 5 vezes logons
Atividade de logon para contas com menos de 5 logons.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Contas registradas remotamente em dispositivos
Contas registradas remotamente em um dispositivo específico.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Computadores com logons de conta de convidado
Computadores com logons de contas de convidado.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Membros adicionados a grupos habilitados para segurança
Membros adicionados aos grupos habilitados para segurança.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Alterações na política de segurança de domínio
Conta eventos da política de domínio alterados.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Alterações na política de auditoria do sistema
A política de auditoria do sistema alterou eventos por computador.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Executáveis suspeitos
Listas executáveis suspeitos.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Logons com senha de texto não criptografado
Logons com senha de texto não criptografado por conta de destino.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Computadores com logs de eventos limpos
Computadores com logs de eventos limpos.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Contas com falha ao fazer logon
Contagens de logons com falha por conta de destino.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Contas bloqueadas
Conta contas bloqueadas por conta de destino.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Tentativas de alterar ou redefinir senhas
Conta tentativas de alteração/redefinição de paswords por conta de destino.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Grupos Criados ou Modificados
Grupos criados ou modificados por conta de destino.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Tentativas de chamada de procedimento remoto
Conta tentativas de chamada de procedimento remoto por computador.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Contas de usuário alteradas
Conta as alterações de conta de usuário por conta de destino.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de