Hantera syslog-vidarebefordring för Azure Stack HCI

Gäller för: Azure Stack HCI, version 23H2

Den här artikeln beskriver hur du konfigurerar säkerhetshändelser som ska vidarebefordras till ett kundhanterat system för säkerhetsinformation och händelsehantering (SIEM) med hjälp av syslog-protokollet för Azure Stack HCI, version 23H2 (förhandsversion).

Använd syslog-vidarebefordring för att integrera med säkerhetsövervakningslösningar och för att hämta relevanta säkerhetshändelseloggar för att lagra dem för kvarhållning på din egen SIEM-plattform. Mer information om säkerhetsfunktioner i den här versionen finns i Säkerhetsfunktioner för Azure Stack HCI, version 23H2 (förhandsversion).

Konfigurera syslog-vidarebefordring

Syslog-vidarebefordringsagenter distribueras som standard på varje Azure Stack HCI-värd, redo att konfigureras. Var och en av agenterna vidarebefordrar säkerhetshändelser i syslog-format från värden till den kundkonfigurerade syslog-servern.

Syslog-vidarebefordringsagenter fungerar oberoende av varandra men kan hanteras tillsammans på någon av värdarna. Använd PowerShell-cmdletar med administratörsbehörighet på alla värdar för att styra beteendet för alla vidarebefordraragenter.

Syslog-vidarebefordraren i Azure Stack HCI stöder följande konfigurationer:

• Syslog-vidarebefordring med TCP, ömsesidig autentisering (klient och server) och TLS 1.2-kryptering: I den här konfigurationen verifierar både syslog-servern och syslog-klienten varandras identitet via certifikat. Meddelanden skickas via en krypterad TLS 1.2-kanal. Mer information finns i Syslog-vidarebefordran med TCP, ömsesidig autentisering (klient och server) och TLS 1.2-kryptering.

• Syslog-vidarebefordring med TCP, serverautentisering och TLS 1.2-kryptering: I den här konfigurationen verifierar syslog-klienten syslog-serverns identitet via ett certifikat. Meddelanden skickas via en krypterad TLS 1.2-kanal. Mer information finns i Syslog-vidarebefordran med TCP, serverautentisering och TLS 1.2-kryptering.

• Syslog-vidarebefordring med TCP och ingen kryptering: I den här konfigurationen verifieras inte syslog-klienten och syslog-serveridentiteterna. Meddelanden skickas i klartext via TCP. Mer information finns i Syslog-vidarebefordran med TCP och ingen kryptering.

• Syslog med UDP och ingen kryptering: I den här konfigurationen verifieras inte syslog-klienten och syslog-serveridentiteterna. Meddelanden skickas i klartext över UDP. Mer information finns i Syslog-vidarebefordran med UDP och ingen kryptering.

  Viktigt

  För att skydda mot man-in-the-middle-attacker och avlyssning av meddelanden rekommenderar Microsoft starkt att du använder TCP med autentisering och kryptering i produktionsmiljöer.

Cmdletar för att konfigurera syslog-vidarebefordran

Konfiguration av syslog-vidarebefordrare kräver åtkomst till den fysiska värden med hjälp av ett domänadministratörskonto. En uppsättning PowerShell-cmdletar har lagts till i alla Azure Stack HCI-värdar för att styra beteendet för syslog-vidarebefordraren.

Cmdleten Set-AzSSyslogForwarder används för att ange syslog-vidarebefordrarens konfiguration för alla värdar. Om det lyckas startas en åtgärdsplaninstans för att konfigurera syslog-vidarebefordraragenterna på alla värdar. Åtgärdsplanens instans-ID returneras.

Använd följande cmdlet för att skicka syslog-serverinformationen till vidarebefordraren och för att konfigurera transportprotokollet, krypteringen, autentiseringen och det valfria certifikat som används mellan klienten och servern:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Cmdlet-parametrar

Följande tabell innehåller parametrar för cmdleten Set-AzSSyslogForwarder :

Parameter	Beskrivning	Typ	Obligatorisk
ServerName	FQDN eller IP-adress för syslog-servern.	Sträng	Yes
ServerPort	Portnummer som syslog-servern lyssnar på.	UInt16	Yes
NoEncryption	Tvinga klienten att skicka syslog-meddelanden i klartext.	Flagga	No
SkipServerCertificateCheck	Hoppa över valideringen av certifikatet som tillhandahålls av syslog-servern under den första TLS-handskakningen.	Flagga	No
SkipServerCNCheck	Hoppa över valideringen av common name-värdet för certifikatet som tillhandahålls av syslog-servern under den första TLS-handskakningen.	Flagga	No
UseUDP	Använd syslog med UDP som transportprotokoll.	Flagga	No
ClientCertificateThumbprint	Tumavtryck för klientcertifikatet som används för att kommunicera med syslog-servern.	Sträng	No
OutputSeverity	Utdataloggningsnivå. Värdena är Standard eller Utförliga. Standardvärdet omfattar allvarlighetsnivåer: varning, kritisk eller fel. Utförlig innehåller alla allvarlighetsnivåer: utförlig, information, varning, kritisk eller fel.	Sträng	No
Ta bort	Ta bort den aktuella syslog-vidarebefordrarkonfigurationen och stoppa syslog-vidarebefordraren.	Flagga	No

Syslog-vidarebefordring med TCP, ömsesidig autentisering (klient och server) och TLS 1.2-kryptering

I den här konfigurationen vidarebefordrar syslog-klienten i Azure Stack HCI meddelanden till syslog-servern via TCP med TLS 1.2-kryptering. Under den första handskakningen verifierar klienten att servern tillhandahåller ett giltigt, betrott certifikat. Klienten tillhandahåller också ett certifikat till servern som bevis på dess identitet.

Den här konfigurationen är den säkraste eftersom den ger fullständig validering av både klientens och serverns identitet och skickar meddelanden via en krypterad kanal.

Viktigt

Microsoft rekommenderar att du använder den här konfigurationen för produktionsmiljöer.

Konfigurera syslog-vidarebefordraren med TCP, ömsesidig autentisering och TLS 1.2-kryptering genom att konfigurera servern och tillhandahålla certifikat till klienten för autentisering mot servern.

Kör följande cmdlet mot en fysisk värd:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Viktigt

Klientcertifikatet måste innehålla en privat nyckel. Om klientcertifikatet signeras med ett självsignerat rotcertifikat måste du även importera rotcertifikatet.

Syslog-vidarebefordring med TCP, serverautentisering och TLS 1.2-kryptering

I den här konfigurationen vidarebefordrar syslog-vidarebefordraren i Azure Stack HCI meddelandena till syslog-servern via TCP med TLS 1.2-kryptering. Under den första handskakningen verifierar klienten också att servern tillhandahåller ett giltigt, betrott certifikat.

Den här konfigurationen förhindrar att klienten skickar meddelanden till ej betrodda mål. TCP med autentisering och kryptering är standardkonfigurationen och representerar den lägsta säkerhetsnivå som Microsoft rekommenderar för en produktionsmiljö.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Om du vill testa integreringen av syslog-servern med Syslog-vidarebefordraren för Azure Stack HCI med hjälp av ett självsignerat eller ej betrott certifikat använder du dessa flaggor för att hoppa över serververifieringen som utförs av klienten under den första handskakningen.

1. Hoppa över valideringen av värdet För eget namn i servercertifikatet. Använd den här flaggan om du anger en IP-adress för syslog-servern.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Hoppa över verifieringen av servercertifikatet.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Viktigt

   Microsoft rekommenderar att du inte använder -SkipServerCertificateCheck flaggan i produktionsmiljöer.

Syslog-vidarebefordring med TCP och ingen kryptering

I den här konfigurationen vidarebefordrar syslog-klienten i Azure Stack HCI meddelanden till syslog-servern via TCP utan kryptering. Klienten verifierar inte serverns identitet och tillhandahåller inte heller en egen identitet till servern för verifiering.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Viktigt

Microsoft rekommenderar att du inte använder den här konfigurationen i produktionsmiljöer.

Syslog-vidarebefordring med UDP och ingen kryptering

I den här konfigurationen vidarebefordrar syslog-klienten i Azure Stack HCI meddelanden till syslog-servern via UDP, utan kryptering. Klienten verifierar inte serverns identitet och tillhandahåller inte heller en egen identitet till servern för verifiering.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Udp utan kryptering är det enklaste att konfigurera, men det ger inget skydd mot man-in-the-middle-attacker eller avlyssning av meddelanden.

Viktigt

Microsoft rekommenderar att du inte använder den här konfigurationen i produktionsmiljöer.

Aktivera syslog-vidarebefordring

Kör följande cmdlet för att aktivera syslog-vidarebefordran:

Enable-AzSSyslogForwarder [-Force]

Syslog-vidarebefordraren aktiveras med den lagrade konfigurationen som tillhandahålls av det senaste lyckade Set-AzSSyslogForwarder anropet. Cmdleten misslyckas om ingen konfiguration har angetts med hjälp av Set-AzSSyslogForwarder.

Inaktivera syslog-vidarebefordring

Kör följande cmdlet för att inaktivera syslog-vidarebefordran:

Disable-AzSSyslogForwarder [-Force] 

Parameter för Enable-AzSSyslogForwarder och Disable-AzSSyslogForwarder cmdletar:

Parameter	Beskrivning	Typ	Obligatorisk
Force	Om det anges utlöses alltid en åtgärdsplan även om måltillståndet är detsamma som aktuellt. Detta kan vara användbart för att återställa out-of-band-ändringar.	Flagga	No

Verifiera syslog-konfigurationen

När du har anslutit syslog-klienten till syslog-servern börjar du få händelseaviseringar. Om du inte ser några meddelanden kontrollerar du konfigurationen av syslog-vidarebefordraren för klustret genom att köra följande cmdlet:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Varje värd har en egen syslog-vidarebefordraragent som använder en lokal kopia av klusterkonfigurationen. De förväntas alltid vara samma som klusterkonfigurationen. Du kan verifiera den aktuella konfigurationen på varje värd med hjälp av följande cmdlet:

Get-AzSSyslogForwarder -PerNode 

Du kan också använda följande cmdlet för att verifiera konfigurationen på den värd som du är ansluten till:

Get-AzSSyslogForwarder -Local

Cmdlet-parametrar för cmdleten Get-AzSSyslogForwarder :

Parameter	Beskrivning	Typ	Obligatorisk
Lokal	Visa konfiguration som används för närvarande på den aktuella värden.	Flagga	No
Pernod	Visa konfiguration som används för närvarande på varje värd.	Flagga	No
Kluster	Visa aktuell global konfiguration på Azure Stack HCI. Detta är standardbeteendet om ingen parameter anges.	Flagga	No

Ta bort syslog-vidarebefordring

Kör följande kommando för att ta bort syslog-vidarebefordrarens konfiguration och stoppa syslog-vidarebefordraren:

Set-AzSSyslogForwarder -Remove 

Referens för meddelandeschema och händelselogg

Följande referensmaterialdokument syslog meddelandeschema och händelsedefinitioner.

Syslog-meddelandeschema

Syslog-vidarebefordraren för Azure Stack HCI-infrastrukturen skickar meddelanden som är formaterade efter det BSD-syslog-protokoll som definierats i RFC3164. CEF används också för att formatera syslog-meddelandenyttolasten.

Varje syslog-meddelande är strukturerat baserat på det här schemat: Prioritet (PRI) | Tid | Värd | CEF-nyttolast |

PRI-delen innehåller två värden: anläggning och allvarlighetsgrad. Båda beror på typen av meddelande, till exempel Windows-händelse osv.

Nyttolastschema/definitioner för Common Event-format

Nyttolasten common event format (CEF) baseras på följande struktur. Mappningen för varje fält varierar beroende på typen av meddelande, till exempel Windows-händelse osv.

CEF: |Version | Enhetsleverantör | Enhetsprodukt | Enhetsversion | Signatur-ID | Namn | Allvarlighetsgrad | Tillägg |

• Version: 0.0
• Enhetsleverantör: Microsoft
• Enhetsprodukt: Microsoft Azure Stack HCI
• Enhetsversion: 1.0

Windows-händelsemappning och exempel

Alla Windows-händelser använder PRI-anläggningsvärdet 10.

• Signatur-ID: ProviderName:EventID
• Namn: TaskName
• Allvarlighetsgrad: Nivå. Mer information finns i följande allvarlighetsgradstabell.
• Tillägg: Anpassat tilläggsnamn. Mer information finns i följande tabell.

Allvarlighetsgrad för Windows-händelser

PRI-allvarlighetsgrad	CEF-allvarlighetsgrad	Windows-händelsenivå	MasLevel-värde (i tillägg)
7	0	Undefined (Odefinierad)	Värde: 0. Anger loggar på alla nivåer.
2	10	Kritiskt	Värde: 1. Anger loggar för en kritisk avisering.
3	8	Fel	Värde: 2. Anger loggar för ett fel.
4	5	Varning	Värde: 3. Anger loggar för en varning.
6	2	Information	Värde: 4. Anger loggar för ett informationsmeddelande.
7	0	Verbose	Värde: 5. Anger loggar för ett utförligt meddelande.

Anpassade tillägg och Windows-händelser i Azure Stack HCI

Namn på anpassat tillägg	Windows-händelse
MasChannel	System
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	De grupprincip inställningarna för användaren har bearbetats. Inga ändringar har identifierats sedan den senaste bearbetningen av grupprincip.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Granskning lyckades
MasLevel	4
MasOpcode	1
MasOpcodeName	information
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	Processskapande
MasUserData	KB4093112!! 5112!! Installerat!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Diverse händelser

Diverse händelser som vidarebefordras. Dessa händelser kan inte anpassas.

Händelsetyp	Händelsefråga
Trådlösa Lan 802.1x-autentiseringshändelser med Peer MAC-adress	query="Security!*[System[(EventID=5632)]]"
Ny tjänst (4697)	query="Security!*[System[(EventID=4697)]]"
Återanslutning av TS-session (4778), frånkoppling av TS-session (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]]"
Åtkomst till nätverksresursobjekt utan IPC$ och Netlogon-resurser	query="Säkerhet! [System[(EventID=5140)] och EventData[Data[@Name='ShareName']!='\\IPC$'] och EventData[Data[@Name='ShareName']!='\*\NetLogon']]"
Systemtidsändring (4616)	query="Security!*[System[(EventID=4616)]]"
Lokala inloggningar utan nätverks- eller tjänsthändelser	query="Security!*[System[(EventID=4624)] och EventData[Data[@Name='LogonType']!='3'] och EventData[Data[@Name='LogonType']!='5']]"
Säkerhetsloggen rensade händelser (1102), Avstängning av EventLog-tjänsten (1100)	query="Security!*[System[(EventID=1102 or EventID=1100)]]"
Användarinitierad utloggning	query="Security!*[System[(EventID=4647)]]"
Användarinloggning för alla inloggningssessioner som inte är nätverk	query="Security!*[System[(EventID=4634)] och EventData[Data[@Name='LogonType'] != '3']]"
Händelser för tjänstinloggning om användarkontot inte är LocalSystem, NetworkService, LocalService	query="Security!*[System[(EventID=4624)] och EventData[Data[@Name='LogonType']='5'] och EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18'] och EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] och EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]"
Skapa nätverksresurs (5142), Ta bort nätverksresurs (5144)	query="Security!*[System[(EventID=5142 eller EventID=5144)]]"
Process skapa (4688)	query="Security!*[System[EventID=4688]]"
Händelseloggtjänsthändelser som är specifika för säkerhetskanalen	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Särskilda privilegier (Admin motsvarande åtkomst) som tilldelats till ny inloggning, exklusive LocalSystem	query="Security!*[System[(EventID=4672)] och EventData[Data[1] != 'S-1-5-18']]"
Ny användare har lagts till i en lokal, global eller universell säkerhetsgrupp	query="Security!*[System[(EventID=4732 or EventID=4728 or EventID=4756)]]"
Användaren har tagits bort från den lokala gruppen Administratörer	query="Security!*[System[(EventID=4733)] och EventData[Data[@Name='TargetUserName']='Administrators']]"
Certificate Services mottog certifikatbegäran (4886), godkänd och utfärdad (4887), nekad begäran (4888)	query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]"
Nytt användarkonto har skapats(4720), användarkonto aktiverat (4722), användarkonto inaktiverat (4725), användarkontot har tagits bort (4726)	query="Security!*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]]"
Gamla händelser mot skadlig kod, men bara identifiera händelser (minskar bruset)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] och (EventID >= 1116 och EventID <= 1119)]]"
Systemstart (12 – inkluderar OS/SP/Version) och avstängning	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] och (EventID=12 eller EventID=13)]]"
Service Install (7000), tjänststartfel (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] och (EventID = 7000 eller EventID=7045)]]"
Avsluta initiera begäranden, med användare, process och orsak (om så anges)	query="System!*[System[Provider[@Name='USER32'] och (EventID=1074)]]"
Händelseloggtjänsthändelser	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Andra logga rensade händelser (104)	query="System!*[System[(EventID=104)]]"
EMET/Exploit Protection-händelser	query="Application!*[System[Provider[@Name='EMET']]]"
WER-händelser för programkrascher	query="Application!*[System[Provider[@Name='Windows Felrapportering']] och EventData[Data[3]='APPCRASH']]"
Användarloggning med tillfällig profil (1511), kan inte skapa profil med hjälp av tillfällig profil (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] och (EventID=1511 eller EventID=1518)]]"
Krasch-/låsningshändelser för program, som liknar WER/1001. Dessa inkluderar en fullständig sökväg till felande EXE/modul.	query="Application!*[System[Provider[@Name='Application Error'] och (EventID=1000)] eller System[Provider[@Name='Application Hang'] och (EventID=1002)]]"
Aktivitetsschemaläggaren har registrerats (106), uppgiftsregistreringen har tagits bort (141), aktiviteten har tagits bort (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] och (EventID=106 eller EventID=141 eller EventID=142 )]]"
AppLocker-paketerad appkörning (modernt användargränssnitt)	query="Microsoft-Windows-AppLocker/Packaged app-Execution!*"
AppLocker-paketerad appinstallation (Modern UI)	query="Microsoft-Windows-AppLocker/Packaged app-Deployment!*"
Loggförsök för TS-anslutning till fjärrserver	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Hämtar alla CHV-händelser (Smart Card Card-Holder Verification) (lyckades och misslyckades) som utförts på värden.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Hämtar alla UNC/mappade enheter lyckade anslutningar	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 eller EventID=30624)]]"
Modern SysMon-händelseprovider	query="Microsoft-Windows-Sysmon/Operational!*"
Moderna Windows Defender händelseprovideridentifieringshändelser (1006–1009) och (1116–1119); plus (5001 5010 5012) req'd av kunder	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 och EventID <= 1009) eller (EventID >= 1116 och EventID <= 1119) eller (EventID = 5001 eller EventID = 5010 eller EventID = 5012) )]]"
Kodintegritetshändelser	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] och (EventID=3076 eller EventID=3077)]]"
CA stop/Start events CA Service Stopped (4880), CA Service Started (4881), CA DB row(s) deleted (4896), CA Template loaded (4898)	query="Security!*[System[(EventID=4880 eller EventID = 4881 eller EventID = 4896 eller EventID = 4898)]]"
RRAS-händelser – genereras endast på Microsoft IAS-servern	query="Security!*[System[( (EventID >= 6272 och EventID <= 6280) )]]"
Avsluta process (4689)	query="Security!*[System[(EventID = 4689)]]"
Händelser som ändrats i registret för åtgärder: Nytt registervärde har skapats (%%1904), befintligt registervärde ändrat (%%1905), registervärde borttaget (%%1906)	query="Security!*[System[(EventID=4657)] och (EventData[Data[@Name='OperationType'] = '%%1904'] eller EventData[Data[@Name='OperationType'] = '%%1905'] eller EventData[Data[@Name='OperationType'] = '%%1906'])]"
Begäran om att autentisera till trådlöst nätverk (inklusive Peer MAC (5632))	query="Security!*[System[(EventID=5632)]]"
En ny extern enhet identifierades av systemet (6416)	query="Security!*[System[(EventID=6416)]]"
RADIUS-autentiseringshändelser Användartilldelad IP-adress (20274), Användaren har autentiserats (20250), användare frånkopplad (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] och (EventID=20274 eller EventID=20250 eller EventID=20275)]]"
CAPI-händelser Build Chain (11), privat nyckel som nås (70), X509-objekt (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 or EventID=70 or EventID=90)]]"
Grupper som tilldelats till ny inloggning (förutom välkända, inbyggda konton)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] och EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] och EventData[Data[Data[@Name='TargetUserSid'] != 'S-1-5-18'] och EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]
DNS-klienthändelser	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] och EventData[Data[@Name='QueryOptions'] != '140737488355328'] och EventData[Data[@Name='QueryResults']='']]"
Identifiera User-Mode drivrutiner som lästs in – för potentiell BadUSB-identifiering.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Information om körning av äldre PowerShell-pipeline (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
Defender stoppade händelser	query="System!*[System[(EventID=7036)] och EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] och EventData[Data[@Name='param2']='stopped']]"
BitLocker Management-händelser	query="Microsoft-Windows-BitLocker/BitLocker Management!*"

Nästa steg

Läs mer om:

• Inställningar för säkerhetsbaslinje för Azure Stack HCI.
• Windows Defender Application Control för Azure Stack HCI.
• BitLocker för Azure Stack HCI.