Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.
De vanligaste händelse-ID:na för säkerhetshändelser
Den här frågan visar en fallande lista över antalet händelser som matas in per EventId för säkerhetsgranskning.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Medlemmar har lagts till i säkerhetsgrupper
Vem har lagts till i säkerhetsaktiverad grupp under den senaste dagen?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Användning av lösenord för klartext
Visa en lista över alla konton som har loggat in med ett lösenord med klartext under den senaste dagen.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Windows-misslyckade inloggningar
Hitta rapporter om Windows-konton som inte kunde logga in.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Alla säkerhetsaktiviteter
Säkerhetsaktiviteter sorterade efter tid (senaste först).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Säkerhetsaktiviteter på enheten
Säkerhetsaktiviteter på en specifik enhet sorterade efter tid (senaste först).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Säkerhetsaktiviteter för administratör
Säkerhetsaktiviteter på en specifik enhet för administratör sorterade efter tid (senaste först).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Inloggningsaktivitet efter enhet
Räknar inloggningsaktiviteter per enhet.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Enheter med fler än 10 inloggningar
Räknar inloggningsaktiviteter per enheter med fler än 10 inloggningar.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Avslutade konton för antimalware
Konton som avslutade Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Enheter med program mot skadlig kod avslutade
Enheter som avslutade Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Enheter där hash kördes
Enheter där hash.exe kördes mer än 5 gånger.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Processnamn som körs
Visar en lista över antalet körningar per process.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Enheter med säkerhetsloggen rensad
Enheter med säkerhetsloggen har rensats.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Inloggningsaktivitet efter konto
Inloggningsaktivitet per konto.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Konton med mindre än 5 gånger inloggningar
Inloggningsaktivitet för konton med mindre än 5 inloggningar.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Fjärrloggade konton på enheter
Fjärruppkopplade inloggade konton på en specifik enhet.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Datorer med gästkontoinloggning
Datorer med inloggningar från gästkonton.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Medlemmar som har lagts till i säkerhetsaktiverade grupper
Medlemmar har lagts till i säkerhetsaktiverade grupper.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Ändringar i domänsäkerhetsprinciper
Räknar händelser för domänpolicyn som har ändrats.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Ändringar i systemgranskningsprincip
Policyn för systemrevision förändrade händelser efter dator.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Misstänkta körbara filer
Visar en lista över misstänkta körbara filer.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Inloggningar med lösenord i klartext
Inloggningar med lösenord i klartext mot målkonto.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Datorer med rensade händelseloggar
Datorer med rensade händelseloggar.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Det gick inte att logga in på konton
Antal misslyckade inloggningar per målkonto.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Låsta konton
Räknar låsta konton per målkonto.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Ändra eller återställa lösenordsförsök
Räknar försök att ändra/återställa lösenord per målkonto.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Grupper som skapats eller ändrats
Grupper som skapats eller ändrats för varje målkonto.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Fjärrproceduranropsförsök
Räknar fjärrproceduranropsförsök per dator.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Användarkonton har ändrats
Räknar ändringar i användarkontot per målkonto.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount