Consultas para la tabla ADAssessmentRecommendation

  • Artículo

Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.

Recomendaciones de AD por área de enfoque

Contar todas las reccomendaciones de AD por área de enfoque.

ADAssessmentRecommendation 
| summarize AggregatedValue = count() by FocusArea

Recomendaciones de AD por equipo

Recuento de recomendaciones de AD con el resultado erróneo por equipo.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Computer

Recomendaciones de AD por bosque

Recuento de recomendaciones de AD con el resultado erróneo por bosque.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Forest

Recomendaciones de AD por dominio

Recuento de recomendaciones de AD con el resultado erróneo por dominio.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Domain

Recomendaciones de AD de DomainController

Recuento de recomendaciones de AD con el resultado erróneo por controlador de dominio.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by DomainController

Recomendaciones de AD por AffectedObjectType

Recuento de recomendaciones de AD con el resultado erróneo por tipo de objeto afectado.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by AffectedObjectType

¿Cuántas veces se desencadenó cada recomendación de AD única?

Recuento de recomendaciones de AD con resultado erróneo por recomendación.

ADAssessmentRecommendation 
| where RecommendationResult == "Failed" 
| summarize AggregatedValue = count() by Recommendation

Recomendaciones de seguridad de evaluación de AD de alta prioridad

La recomendación de seguridad de alta prioridad más reciente con el resultado no se pudo realizar mediante el identificador de recomendación.

ADAssessmentRecommendation
| where FocusArea == 'Security and Compliance' and RecommendationResult == 'Failed' and RecommendationScore>=35
| summarize arg_max(TimeGenerated, *) by RecommendationId