Запросы для таблицы ADAssessmentRecommendation

  • Статья

Рекомендации AD по основной области

Подсчитайте все рекомендации AD по области фокуса.

ADAssessmentRecommendation 
| summarize AggregatedValue = count() by FocusArea

Рекомендации AD по компьютерам

Подсчет рекомендаций AD с неудачным результатом по компьютерам.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Computer

Рекомендации AD по лесам

Подсчет рекомендаций AD с неудачным результатом по лесу.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Forest

Рекомендации AD по доменам

Подсчитайте рекомендации AD с неудачным результатом по доменам.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Domain

Рекомендации AD от DomainController

Подсчитайте рекомендации AD с неудачным результатом контроллера домена.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by DomainController

Рекомендации AD по AffectedObjectType

Подсчет рекомендаций AD с неудачным результатом по затронутму типу объекта.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by AffectedObjectType

Сколько раз каждый уникальный триггер рекомендации AD?

Подсчитайте рекомендации AD с неудачным результатом по рекомендациям.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Recommendation

Высокоприоритетные рекомендации по безопасности оценки AD

Последняя высокоприоритетная рекомендация по безопасности с результатом завершилась ошибкой по идентификатору рекомендации.

ADAssessmentRecommendation
| where FocusArea == 'Security and Compliance' and RecommendationResult == 'Failed' and RecommendationScore>=35
| summarize arg_max(TimeGenerated, *) by RecommendationId