Azure Stack HCI için syslog iletmeyi yönetme

Şunlar için geçerlidir: Azure Stack HCI, sürüm 23H2

Bu makalede, Azure Stack HCI, sürüm 23H2 (önizleme) için syslog protokolü kullanılarak müşteri tarafından yönetilen güvenlik bilgileri ve olay yönetimi (SIEM) sistemine iletilecek güvenlik olaylarının nasıl yapılandırıldığı açıklanır.

Güvenlik izleme çözümleriyle tümleştirmek ve bunları kendi SIEM platformunuzda saklama amacıyla depolamak üzere ilgili güvenlik olay günlüklerini almak için syslog iletmeyi kullanın. Bu sürümdeki güvenlik özellikleri hakkında daha fazla bilgi için bkz . Azure Stack HCI, sürüm 23H2 (önizleme) için güvenlik özellikleri.

Syslog iletmeyi yapılandırma

Syslog iletme aracıları varsayılan olarak her Azure Stack HCI konağına dağıtılır ve yapılandırılmaya hazırdır. Aracıların her biri, güvenlik olaylarını ana bilgisayardan müşteri tarafından yapılandırılan syslog sunucusuna syslog biçiminde iletir.

Syslog iletme aracıları birbirinden bağımsız olarak çalışır, ancak konaklardan herhangi birinde birlikte yönetilebilir. Tüm iletici aracılarının davranışını denetlemek için herhangi bir konakta yönetim ayrıcalıklarına sahip PowerShell cmdlet'lerini kullanın.

Azure Stack HCI'deki syslog ileticisi aşağıdaki yapılandırmaları destekler:

• TCP, karşılıklı kimlik doğrulaması (istemci ve sunucu) ve TLS 1.2 şifrelemesi ile Syslog iletme: Bu yapılandırmada, hem syslog sunucusu hem de syslog istemcisi sertifikalar aracılığıyla birbirlerinin kimliğini doğrular. İletiler TLS 1.2 şifrelenmiş kanalı üzerinden gönderilir. Daha fazla bilgi için bkz . TCP ile syslog iletme, karşılıklı kimlik doğrulaması (istemci ve sunucu) ve TLS 1.2 şifrelemesi.

• TCP, sunucu kimlik doğrulaması ve TLS 1.2 şifrelemesi ile Syslog iletme: Bu yapılandırmada, syslog istemcisi bir sertifika aracılığıyla syslog sunucusunun kimliğini doğrular. İletiler TLS 1.2 şifrelenmiş kanalı üzerinden gönderilir. Daha fazla bilgi için bkz . TCP ile Syslog iletme, sunucu kimlik doğrulaması ve TLS 1.2 şifrelemesi.

• TCP ile syslog iletme ve şifreleme yok: Bu yapılandırmada syslog istemcisi ve syslog sunucusu kimlikleri doğrulanmamıştır. İletiler TCP üzerinden düz metin olarak gönderilir. Daha fazla bilgi için bkz . TCP ile syslog iletme ve şifreleme yok.

• UDP ile Syslog ve şifreleme yok: Bu yapılandırmada syslog istemcisi ve syslog sunucusu kimlikleri doğrulanmamıştır. İletiler UDP üzerinden düz metin olarak gönderilir. Daha fazla bilgi için bkz . UDP ile syslog iletme ve şifreleme yok.

  Önemli

  Microsoft, ortadaki adam saldırılarına ve iletileri dinlemeye karşı koruma sağlamak için üretim ortamlarında kimlik doğrulaması ve şifreleme ile TCP kullanmanızı kesinlikle önerir.

Syslog iletmeyi yapılandırmak için cmdlet'ler

Syslog ileticisini yapılandırmak için bir etki alanı yönetici hesabı kullanarak fiziksel konağa erişim gerekir. Syslog ileticisinin davranışını denetlemek için tüm Azure Stack HCI konaklarına bir dizi PowerShell cmdlet'i eklendi.

Set-AzSSyslogForwarder Cmdlet, tüm konaklar için syslog ileticisi yapılandırmasını ayarlamak için kullanılır. Başarılı olursa, syslog iletici aracılarını tüm konaklarda yapılandırmak için bir eylem planı örneği başlatılır. Eylem planı örneği kimliği döndürülür.

Syslog sunucusu bilgilerini ileticiye geçirmek ve aktarım protokollerini, şifrelemeyi, kimlik doğrulamasını ve istemci ile sunucu arasında kullanılan isteğe bağlı sertifikayı yapılandırmak için aşağıdaki cmdlet'i kullanın:

Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove] 

Cmdlet parametreleri

Aşağıdaki tabloda cmdlet'i için Set-AzSSyslogForwarder parametreler sağlanmaktadır:

Parametre	Açıklama	Tür	Gerekli
aboneliğinde ve	Syslog sunucusunun FQDN veya IP adresi.	Dize	Yes
ServerPort	Syslog sunucusunun dinlediği bağlantı noktası numarası.	UInt16	Yes
NoEncryption	İstemciyi syslog iletilerini düz metin olarak göndermeye zorlayın.	Bayrak	No
SkipServerCertificateCheck	İlk TLS el sıkışması sırasında syslog sunucusu tarafından sağlanan sertifikanın doğrulamasını atlayın.	Bayrak	No
SkipServerCNCheck	İlk TLS el sıkışması sırasında syslog sunucusu tarafından sağlanan sertifikanın Ortak Ad değerini doğrulamayı atlayın.	Bayrak	No
UseUDP	Aktarım protokolü olarak UDP ile syslog kullanın.	Bayrak	No
ClientCertificateThumbprint	Syslog sunucusuyla iletişim kurmak için kullanılan istemci sertifikasının parmak izi.	Dize	No
OutputSeverity	Çıkış günlüğü düzeyi. Değerler Varsayılan veya Ayrıntılı'dır. Varsayılan değer önem derecelerini içerir: uyarı, kritik veya hata. Ayrıntılı tüm önem derecelerini içerir: ayrıntı, bilgilendirme, uyarı, kritik veya hata.	Dize	No
Kaldır	Geçerli syslog ileticisi yapılandırmasını kaldırın ve syslog ileticisini durdurun.	Bayrak	No

TCP, karşılıklı kimlik doğrulaması (istemci ve sunucu) ve TLS 1.2 şifrelemesi ile Syslog iletme

Bu yapılandırmada, Azure Stack HCI'deki syslog istemcisi ILETILERI TLS 1.2 şifrelemesi ile TCP üzerinden syslog sunucusuna iletir. İlk el sıkışma sırasında istemci, sunucunun geçerli, güvenilen bir sertifika sağladığını doğrular. İstemci ayrıca kimliğinin kanıtı olarak sunucuya bir sertifika sağlar.

Bu yapılandırma, hem istemcinin hem de sunucunun kimliğinin tam doğrulamasını sağladığından ve şifrelenmiş bir kanal üzerinden ileti gönderdiğinden en güvenli yapılandırmadır.

Önemli

Microsoft, bu yapılandırmayı üretim ortamları için kullanmanızı önerir.

Syslog ileticisini TCP, karşılıklı kimlik doğrulaması ve TLS 1.2 şifrelemesi ile yapılandırmak için sunucuyu yapılandırın ve sunucuda kimlik doğrulaması için istemciye sertifika sağlayın.

Fiziksel bir konağa karşı aşağıdaki cmdlet'i çalıştırın:

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>

Önemli

İstemci sertifikası özel anahtar içermelidir. İstemci sertifikası otomatik olarak imzalanan bir kök sertifika kullanılarak imzalandıysa, kök sertifikayı da içeri aktarmanız gerekir.

TCP, sunucu kimlik doğrulaması ve TLS 1.2 şifrelemesi ile Syslog iletme

Bu yapılandırmada, Azure Stack HCI'deki syslog ileticisi iletileri TLS 1.2 şifrelemesi ile TCP üzerinden syslog sunucusuna iletir. İlk el sıkışması sırasında istemci, sunucunun geçerli, güvenilir bir sertifika sağladığını da doğrular.

Bu yapılandırma, istemcinin güvenilmeyen hedeflere ileti göndermesini engeller. Kimlik doğrulaması ve şifreleme kullanan TCP varsayılan yapılandırmadır ve Microsoft'un üretim ortamı için önerdiği en düşük güvenlik düzeyini temsil eder.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>

Syslog sunucunuzun Azure Stack HCI syslog ileticisi ile tümleştirmesini otomatik olarak imzalanan veya güvenilmeyen bir sertifika kullanarak test etmek istiyorsanız, ilk el sıkışması sırasında istemci tarafından yapılan sunucu doğrulamasını atlamak için bu bayrakları kullanın.

1. Sunucu sertifikasındaki Ortak Ad değerini doğrulamayı atlayın. Syslog sunucunuz için bir IP adresi sağlarsanız bu bayrağı kullanın.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> 
   -SkipServerCNCheck
   

2. Sunucu sertifikası doğrulamasını atlayın.

   Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>  
   -SkipServerCertificateCheck
   

   Önemli

   Microsoft, bayrağını -SkipServerCertificateCheck üretim ortamlarında kullanmamanızı önerir.

TCP ile syslog iletme ve şifreleme yok

Bu yapılandırmada, Azure Stack HCI'deki syslog istemcisi iletileri şifreleme olmadan TCP üzerinden syslog sunucusuna iletir. İstemci, sunucunun kimliğini doğrulamaz ve doğrulama için sunucuya kendi kimliğini sağlamaz.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption

Önemli

Microsoft, bu yapılandırmayı üretim ortamlarında kullanmamanızı önerir.

UDP ile syslog iletme ve şifreleme yok

Bu yapılandırmada, Azure Stack HCI'deki syslog istemcisi iletileri şifreleme olmadan UDP üzerinden syslog sunucusuna iletir. İstemci, sunucunun kimliğini doğrulamaz ve doğrulama için sunucuya kendi kimliğini sağlamaz.

Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP

Şifrelemesi olmayan UDP yapılandırması en kolay olan olsa da, ortadaki adam saldırılarına veya iletileri dinlemeye karşı herhangi bir koruma sağlamaz.

Önemli

Microsoft, bu yapılandırmayı üretim ortamlarında kullanmamanızı önerir.

Syslog iletmeyi etkinleştirme

Syslog iletmeyi etkinleştirmek için aşağıdaki cmdlet'i çalıştırın:

Enable-AzSSyslogForwarder [-Force]

Syslog ileticisi, son başarılı Set-AzSSyslogForwarder çağrı tarafından sağlanan saklı yapılandırmayla etkinleştirilir. cmdlet'i kullanılarak Set-AzSSyslogForwarderyapılandırma sağlanmamışsa başarısız olur.

Syslog iletmeyi devre dışı bırakma

Syslog iletmeyi devre dışı bırakmak için aşağıdaki cmdlet'i çalıştırın:

Disable-AzSSyslogForwarder [-Force] 

ve Disable-AzSSyslogForwarder cmdlet'leri için Enable-AzSSyslogForwarder parametre:

Parametre	Açıklama	Tür	Gerekli
Force	Belirtilirse, hedef durum geçerli durumla aynı olsa bile bir eylem planı her zaman tetiklenir. Bu, bant dışı değişiklikleri sıfırlamak için yararlı olabilir.	Bayrak	No

Syslog kurulumunu doğrulama

Syslog istemcisini syslog sunucunuza başarıyla bağladıktan sonra olay bildirimleri almaya başlarsınız. Bildirimleri görmüyorsanız aşağıdaki cmdlet'i çalıştırarak küme syslog ileticisi yapılandırmanızı doğrulayın:

Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster] 

Her konağın küme yapılandırmasının yerel bir kopyasını kullanan kendi syslog ileticisi aracısı vardır. Bunların her zaman küme yapılandırmasıyla aynı olması beklenir. Aşağıdaki cmdlet'i kullanarak her konakta geçerli yapılandırmayı doğrulayabilirsiniz:

Get-AzSSyslogForwarder -PerNode 

Bağlandığınız konakta yapılandırmayı doğrulamak için aşağıdaki cmdlet'i de kullanabilirsiniz:

Get-AzSSyslogForwarder -Local

Cmdlet için Get-AzSSyslogForwarder cmdlet parametreleri:

Parametre	Açıklama	Tür	Gerekli
Yerel	Geçerli konakta şu anda kullanılan yapılandırmayı göster.	Bayrak	No
PerNode	Her konakta şu anda kullanılan yapılandırmayı göster.	Bayrak	No
Küme	Azure Stack HCI'de geçerli genel yapılandırmayı göster. Parametre sağlanmazsa bu varsayılan davranıştır.	Bayrak	No

Syslog iletmeyi kaldırma

Syslog ileticisi yapılandırmasını kaldırmak ve syslog ileticisini durdurmak için aşağıdaki komutu çalıştırın:

Set-AzSSyslogForwarder -Remove 

İleti şeması ve olay günlüğü başvurusu

Aşağıdaki başvuru malzemesi syslog ileti şemasını ve olay tanımlarını belgelemektedir.

Syslog ileti şeması

Azure Stack HCI altyapısının syslog ileticisi, RFC3164'de tanımlanan BSD syslog protokolüne göre biçimlendirilmiş iletiler gönderir. CEF ayrıca syslog ileti yükünü biçimlendirmek için de kullanılır.

Her syslog iletisi şu şemaya göre yapılandırılmıştır: Priority (PRI) | Saat | Ana Bilgisayar | CEF yükü |

PRI bölümü iki değer içerir: tesis ve önem derecesi. Her ikisi de Windows Olayı gibi iletinin türüne bağlıdır.

Ortak Olay biçimi yük şeması/tanımları

Ortak Olay biçimi (CEF) yükü aşağıdaki yapıyı temel alır. Her alanın eşlemesi, Windows Olayı gibi iletinin türüne bağlı olarak değişir.

CEF: |Sürüm | Cihaz Satıcısı | Cihaz Ürünü | Cihaz Sürümü | İmza Kimliği | Ad | Önem Derecesi | Uzantılar |

• Sürüm: 0.0
• Cihaz Satıcısı: Microsoft
• Cihaz Ürünü: Microsoft Azure Stack HCI
• Cihaz Sürümü: 1.0

Windows olay eşlemesi ve örnekleri

Tüm Windows olayları PRI tesis değeri 10'a kullanır.

• İmza Kimliği: ProviderName:EventID
• Ad: GörevAdı
• Önem Derecesi: Düzey. Ayrıntılar için aşağıdaki Önem Derecesi tablosuna bakın.
• Uzantı: Özel Uzantı Adı. Ayrıntılar için aşağıdaki tabloya bakın.

Windows olaylarının önem derecesi

PRI önem derecesi değeri	CEF önem derecesi değeri	Windows olay düzeyi	MasLevel değeri (uzantıda)
7	0	Tanımsız	Değer: 0. Tüm düzeylerdeki günlükleri gösterir.
2	10	Kritik	Değer: 1. Kritik bir uyarının günlüklerini gösterir.
3	8	Hata	Değer: 2. Hatanın günlüklerini gösterir.
4	5	Uyarı	Değer: 3. Uyarı için günlükleri gösterir.
6	2	Bilgi	Değer: 4. Bilgilendirme iletisi için günlükleri gösterir.
7	0	Ayrıntılı	Değer: 5. Ayrıntılı iletinin günlüklerini gösterir.

Azure Stack HCI'de özel uzantılar ve Windows olayları

Özel uzantı adı	Windows olayı
MasChannel	Sistem
MasComputer	test.azurestack.contoso.com
MasCorrelationActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasCorrelationRelatedActivityID	C8F40D7C-3764-423B-A4FA-C994442238AF
MasEventData	Svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000
MasEventDescription	Kullanıcının grup ilkesi ayarları başarıyla işlendi. grup ilkesi son başarılı işlemeden sonra hiçbir değişiklik algılanmadı.
MasEventID	1501
MasEventRecordID	26637
MasExecutionProcessID	29380
MasExecutionThreadID	25480
MasKeywords	0x8000000000000000
MasKeywordName	Başarıyı Denetle
MasLevel	4
MasOpcode	1
MasOpcodeName	bilgiler
MasProviderEventSourceName
MasProviderGuid	AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9
MasProviderName	Microsoft-Windows-GroupPolicy
MasSecurityUserId	Windows SID
MasTask	0
MasTaskCategory	İşlem Oluşturma
MasUserData	KB4093112!! 5112!! Yüklü!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/*
MasVersion	0

Çeşitli olaylar

İletilen çeşitli olaylar. Bu olaylar özelleştirilemiyor.

Olay türü	Olay sorgusu
Eş MAC adresiyle Kablosuz Lan 802.1x kimlik doğrulama olayları	query="Security!*[System[(EventID=5632)]]"
Yeni hizmet (4697)	query="Security!*[System[(EventID=4697)]]"
TS Oturumu yeniden bağlanma (4778), TS Oturumu bağlantısını kesme (4779)	query="Security!*[System[(EventID=4778 or EventID=4779)]]"
IPC$ ve Netlogon paylaşımları olmadan ağ paylaşımı nesne erişimi	query="Güvenlik! [System[(EventID=5140)] and EventData[Data[@Name='ShareName']!='\\IPC$'] and EventData[Data[@Name='ShareName']!='\*\NetLogon']"
Sistem Zamanı Değişikliği (4616)	query="Security!*[System[(EventID=4616)]]"
Ağ veya hizmet olayları olmadan yerel oturum açma işlemleri	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]"
Güvenlik Günlüğü temizlenen olaylar (1102), EventLog Service kapatma (1100)	query="Security!*[System[(EventID=1102 veya EventID=1100)]]"
Kullanıcı tarafından başlatılan oturum kapatma	query="Security!*[System[(EventID=4647)]]"
Tüm ağ dışı oturum açma oturumları için kullanıcı oturumu kapatma	query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]"
Kullanıcı hesabı LocalSystem, NetworkService, LocalService değilse hizmet oturum açma olayları	query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18 '] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']"
Ağ Paylaşımı oluşturma (5142), Ağ Paylaşımı Silme (5144)	query="Security!*[System[(EventID=5142 veya EventID=5144)]]"
İşlem Oluşturma (4688)	query="Security!*[System[EventID=4688]]"
Güvenlik kanalına özgü olay günlüğü hizmeti olayları	query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
LocalSystem hariç, yeni oturum açmaya atanan Özel Ayrıcalıklar (Yönetici eşdeğer Erişim)	query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]"
Yerel, genel veya evrensel güvenlik grubuna yeni kullanıcı eklendi	query="Security!*[System[(EventID=4732 veya EventID=4728 veya EventID=4756)]]"
Kullanıcı yerel Yöneticiler grubundan kaldırıldı	query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]"
Sertifika Hizmetleri sertifika isteği aldı (4886), Onaylandı ve Sertifika verildi (4887), Reddedildi isteği (4888)	query="Security!*[System[(EventID=4886 veya EventID=4887 veya EventID=4888)]]"
Yeni Kullanıcı Hesabı Oluşturuldu (4720), Kullanıcı Hesabı Etkin (4722), Kullanıcı Hesabı Devre Dışı (4725), Kullanıcı Hesabı Silindi (4726)	query="Security!*[System[(EventID=4720 veya EventID=4722 veya EventID=4725 veya EventID=4726)]]"
Kötü amaçlı yazılımdan koruma eski olayları, ancak yalnızca olayları algıla (gürültüyü azaltır)	query="System!*[System[Provider[@Name='Microsoft Antimalware'] ve (EventID >= 1116 ve EventID <= 1119)]]"
Sistem başlatma (12 - işletim sistemi/SP/Sürüm içerir) ve kapatma	query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] ve (EventID=12 veya EventID=13)]]"
Hizmet Yükleme (7000), hizmet başlatma hatası (7045)	query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 veya EventID=7045)]]"
Kullanıcı, işlem ve neden içeren istekleri kapatma (sağlanırsa)	query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]"
Olay günlüğü hizmeti olayları	query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]"
Diğer Günlük temizlenen olaylar (104)	query="System!*[System[(EventID=104)]] "
EMET/Exploit koruma olayları	query="Application!*[System[Provider[@Name='EMET']]]"
Yalnızca uygulama kilitlenmeleri için WER olayları	query="Application!*[System[Provider[@Name='Windows Hata Bildirimi']] ve EventData[Data[3]='APPCRASH']]"
Geçici profil (1511) ile oturum açan kullanıcı, geçici profil kullanarak profil oluşturamıyor (1518)	query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] ve (EventID=1511 veya EventID=1518)]"
WER/1001'e benzer şekilde uygulama kilitlenme/kilitlenme olayları. Bunlar, hatalı EXE/Modülün tam yolunu içerir.	query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] veya System[Provider[@Name='Application Hang'] and (EventID=1002)]]"
Görev zamanlayıcı görevi kaydedildi (106), Görev Kaydı Silindi (141), Görev Silindi (142)	query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] ve (EventID=106 veya EventID=141 veya EventID=142 )]]"
AppLocker paketlenmiş (Modern UI) uygulama yürütme	query="Microsoft-Windows-AppLocker/Paketlenmiş uygulama yürütme!*"
AppLocker paketli (Modern UI) uygulama yüklemesi	query="Microsoft-Windows-AppLocker/Paketlenmiş uygulama dağıtımı!*"
Uzak sunucuya bağlanma girişiminde bulunan günlük TS	query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]]"
Konakta gerçekleştirilen tüm Akıllı Kart Card-Holder Doğrulama (CHV) olaylarını (başarı ve başarısızlık) alır.	query="Microsoft-Windows-SmartCard-Audit/Authentication!*"
Tüm UNC/eşlenmiş sürücü başarılı bağlantısını alır	query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 veya EventID=30624)]]"
Modern SysMon olay sağlayıcısı	query="Microsoft-Windows-Sysmon/Operational!*"
Modern Windows Defender olay sağlayıcısı Algılama olayları (1006-1009) ve (1116-1119); artı (5001.5010.5012) müşteriler tarafından	query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 ve EventID <= 1009) veya (EventID >= 1116 ve EventID <= 1119) veya (EventID = 5001 veya EventID = 5010 veya EventID = 5012) )]]"
Kod Bütünlüğü olayları	query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] ve (EventID=3076 veya EventID=3077)]] "
CA durdurma/Başlatma olayları CA Hizmeti Durduruldu (4880), CA Hizmeti Başlatıldı (4881), CA DB satırları silindi (4896), CA Şablonu yüklendi (4898)	query="Security!*[System[(EventID=4880 veya EventID = 4881 veya EventID = 4896 veya EventID = 4898)]]"
RRAS olayları – yalnızca Microsoft IAS sunucusunda oluşturulur	query="Security!*[System[( (EventID >= 6272 ve EventID <= 6280) )]]"
İşlem Sonlandırma (4689)	query="Security!*[System[(EventID = 4689)]]"
İşlemler için kayıt defteri değiştirildi olayları: Yeni Kayıt Defteri Değeri oluşturuldu (%%1904), Varolan Kayıt Defteri Değeri değiştirildi (%%1905), Kayıt Defteri Değeri Silindi (%%1906)	query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] veya EventData[Data[@Name='OperationType'] = '%%1905'] veya EventData[Data[@Name='OperationType'] = '%%1906'])]"
Kablosuz ağda kimlik doğrulaması için yapılan istek (Eş MAC (5632 dahil)	query="Security!*[System[(EventID=5632)]]"
Sistem tarafından yeni bir dış cihaz tanındı (6416)	query="Security!*[System[(EventID=6416)]]"
RADIUS kimlik doğrulama olayları Kullanıcı Tarafından Atanan IP adresi (20274), Kullanıcının kimliği başarıyla doğrulandı (20250), Kullanıcı Bağlantısı Kesildi (20275)	query="System!*[System[Provider[@Name='RemoteAccess'] ve (EventID=20274 veya EventID=20250 veya EventID=20275)]]"
CAPI olayları Derleme Zinciri (11), Erişilen Özel Anahtar (70), X509 nesnesi (90)	query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 veya EventID=70 veya EventID=90)]]"
Yeni oturum açma bilgilerine atanan gruplar (iyi bilinen yerleşik hesaplar dışında)	query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] and EventData[Data[Data @Name='TargetUserSid'] != 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']] "
DNS istemci olayları	query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']='']]"
Olası BadUSB algılaması için yüklenen User-Mode sürücüleri algılayın.	query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]]"
Eski PowerShell işlem hattı yürütme ayrıntıları (800)	query="Windows PowerShell!*[System[(EventID=800)]]"
Defender olayları durdurdu	query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender Antivirus Network Inspection Service'] and EventData[Data[@Name='param2']='stopped']]"
BitLocker Yönetim olayları	query="Microsoft-Windows-BitLocker/BitLocker Yönetimi!*"

Sonraki adımlar

Aşağıdakiler hakkında daha fazla bilgi edinin:

• Azure Stack HCI için güvenlik temeli ayarları.
• Azure Stack HCI için Uygulama Denetimi'ne Windows Defender.
• Azure Stack HCI için BitLocker.