SecurityEvent tablosu için sorgular

Azure portalında bu sorguları kullanma hakkında bilgi için bkz. Log Analytics öğreticisi. REST API için bkz. Sorgu.

Güvenlik Olaylarının en yaygın olay ID'leri

Bu sorgu, Güvenlik Denetimi için EventId başına alınan olay miktarının azalan listesini görüntüler.

SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc

Güvenlik gruplarına eklenen üyeler

Son gün içinde güvenlik özellikli gruba kimler eklendi?

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution

Düz metin parolasının kullanımları

Son gün içinde düz metin parola kullanarak oturum açan tüm hesapları listeleyin.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Windows başarısız oturumları

Oturum açamayan Windows hesaplarının raporlarını bulun.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Tüm Güvenlik Etkinlikleri

Zamana göre sıralanmış güvenlik etkinlikleri (en yeni ilk).

SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Cihazdaki Güvenlik Etkinlikleri

Belirli bir cihazdaki güvenlik etkinlikleri zamana göre sıralanır (ilk olarak en yeni).

SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Yönetici için Güvenlik Etkinlikleri

Yönetici için belirli bir cihazdaki güvenlik etkinlikleri zamana göre sıralanır (ilk olarak en yeni).

SecurityEvent
//| where Computer == "COMPUTER01.contoso.com"  // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Cihaza Göre Oturum Açma Etkinliği

Cihaz başına oturum açma etkinliklerini sayar.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer

10'dan fazla oturum açan cihazlar

10'dan fazla oturum açması olan cihazlar başına oturum açma etkinliklerini sayar.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10

Sonlandırılan Kötü Amaçlı Yazılımdan Koruma Hesapları

Microsoft Kötü Amaçlı Yazılımdan Koruma'yı sonlandıran hesaplar.

SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account

Kötü Amaçlı Yazılımdan Koruma Yazılımı Sonlandırılan Cihazlar

Microsoft Antimalware'ı sonlandıran cihazlar.

SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer

Hash'in Çalıştırıldığı Cihazlar

hash.exe 5'ten fazla kez yürütüldüğü cihazlar.

SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5

Yürütülen İşlem Adları

İşlem başına yürütme sayısını listeler.

SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName

Güvenlik Kaydı Temizlenmiş Cihazlar

Güvenlik günlüğü temizlenen cihazlar.

SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer

Hesaba Göre Oturum Açma Etkinliği

Hesaba göre oturum açma etkinliği.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account

5 Kereden Az Oturum Açan Hesaplar

5'ten az oturum açması olan hesaplar için oturum açma etkinliği.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5

Cihazlarda Uzaktan Erişilen Hesaplar

Belirli bir cihazda oturum açmış uzak hesaplar.

SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account

Misafir Hesabı ile Oturum Açan Bilgisayarlar

Konuk hesaplarından oturum açan bilgisayarlar.

SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer

Güvenlik Özellikli Gruplara Eklenen Üyeler

Güvenlik özellikli gruplara eklenen üyeler.

SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount

Etki Alanı Güvenlik İlkesi Değişiklikleri

Değiştirilen etki alanı politikası olaylarını sayar.

SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged

Sistem Denetim İlkesi Değişiklikleri

Sistem denetim ilkesi, olayları bilgisayara göre değiştirdi.

SecurityEvent
| where EventID == 4719
| summarize count() by Computer

Şüpheli Yürütülebilir Dosyalar

Şüpheli yürütülebilir dosyaları listeler.

SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5

Açık Metin Parolası ile Oturum Açma İşlemleri

Hedef hesaba göre düz metin parolası ile oturum açmalar.

SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount

Temizlenen Olay Günlükleri Olan Bilgisayarlar

Temizlenen olay günlükleri olan bilgisayarlar.

SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer

Hesaplar Oturum Açamadı

Başarısız oturum açmaları hedef hesaba göre sayar.

SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount

Kilitli Hesaplar

Hedef hesaba göre kilitli hesapları sayar.

SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount

ParolaLarı Değiştirme veya Sıfırlama Denemeleri

Hedef hesap başına şifre değiştirme/sıfırlama girişimlerini sayar.

SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount

Oluşturulan veya Değiştirilen Gruplar

Hedef hesap başına oluşturulan veya değiştirilen gruplar.

SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount

Uzaktan Prosedür Çağrısı Denemeleri

Bilgisayar başına uzak yordam çağrısı denemelerini sayar.

SecurityEvent
| where EventID == 5712
| summarize count() by Computer

Kullanıcı Hesapları Değiştirildi

Hedef hesap başına kullanıcı hesabı değişikliklerini sayar.

SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount