Dela via

Frågor för tabellen SecurityEvent

  • Artikel

Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.

De vanligaste händelse-ID:na för säkerhetshändelser

Den här frågan visar en fallande lista över antalet händelser som matas in per EventId för säkerhetsgranskning.

SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc

Medlemmar har lagts till i säkerhetsgrupper

Vem har lagts till i säkerhetsaktiverad grupp under den senaste dagen?

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution

Användning av lösenord för klartext

Visa en lista över alla konton som har loggat in med ett lösenord med klartext under den senaste dagen.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Windows-misslyckade inloggningar

Hitta rapporter om Windows-konton som inte kunde logga in.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Alla säkerhetsaktiviteter

Säkerhetsaktiviteter sorterade efter tid (senaste först).

SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Säkerhetsaktiviteter på enheten

Säkerhetsaktiviteter på en specifik enhet sorterade efter tid (senaste först).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Säkerhetsaktiviteter för administratör

Säkerhetsaktiviteter på en specifik enhet för administratör sorterade efter tid (senaste först).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com"  // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Inloggningsaktivitet efter enhet

Räknar inloggningsaktiviteter per enhet.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer

Enheter med fler än 10 inloggningar

Räknar inloggningsaktiviteter per enheter med fler än 10 inloggningar.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10

Konton avslutade program mot skadlig kod

Konton som avslutade Microsoft Antimalware.

SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account

Enheter med program mot skadlig kod avslutade

Enheter som avslutade Microsoft Antimalware.

SecurityEvent
| where EventID == 4689 
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer

Enheter där hash kördes

Enheter där hash.exe kördes mer än 5 gånger.

SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5

Processnamn som körs

Visar en lista över antalet körningar per process.

SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName

Enheter med säkerhetsloggen rensad

Enheter med säkerhetsloggen rensad.

SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer

Inloggningsaktivitet efter konto

Inloggningsaktivitet per konto.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account

Konton med mindre än 5 gånger inloggningar

Inloggningsaktivitet för konton med mindre än 5 inloggningar.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5

Fjärrloggade konton på enheter

Fjärranslutna loggade konton på en specifik enhet.

SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account

Datorer med gästkontoinloggning

Datorer med inloggningar från gästkonton.

SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer

Medlemmar som har lagts till i säkerhetsaktiverade grupper

Medlemmar har lagts till i säkerhetsaktiverade grupper.

SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount

Ändringar i domänsäkerhetsprinciper

Räknar händelser för domänprincipen har ändrats.

SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged

Ändringar i systemgranskningsprincip

Systemgranskningsprincipen ändrade händelser per dator.

SecurityEvent
| where EventID == 4719
| summarize count() by Computer

Misstänkta körbara filer

Visar en lista över misstänkta körbara filer.

SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5

Inloggningar med lösenord för klartext

Inloggningar med lösenord för klartext efter målkonto.

SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount

Datorer med rensade händelseloggar

Datorer med rensade händelseloggar.

SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer

Det gick inte att logga in på konton

Antal misslyckade inloggningar efter målkonto.

SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount

Låsta konton

Räknar låsta konton efter målkonto.

SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount

Ändra eller återställa lösenordsförsök

Räknar ändrings-/återställnings-paswords-försök per målkonto.

SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount

Grupper som skapats eller ändrats

Grupper som skapats eller ändrats per målkonto.

SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount

Fjärrproceduranropsförsök

Räknar fjärrproceduranropsförsök per dator.

SecurityEvent
| where EventID == 5712
| summarize count() by Computer

Användarkonton har ändrats

Räknar ändringar i användarkontot per målkonto.

SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount