Requêtes pour la table SecurityEvent
Pour plus d’informations sur l’utilisation de ces requêtes dans le Portail Azure, consultez le didacticiel Log Analytics. Pour l’API REST, consultez Requête.
ID d’événements de sécurité les plus courants
Cette requête affiche une liste décroissante de la quantité d’événements ingérés par EventId pour l’audit de sécurité.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Membres ajoutés aux groupes de sécurité
Qui a été ajouté au groupe prenant en charge la sécurité au cours du dernier jour ?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Utilisations d’un mot de passe de texte clair
Répertoriez tous les comptes connectés à l’aide d’un mot de passe en texte clair au cours du dernier jour.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Échecs des connexions Windows
Recherchez les rapports des comptes Windows qui n’ont pas pu se connecter.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Toutes les activités de sécurité
Activités de sécurité triées par heure (la plus récente).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Activités de sécurité sur l’appareil
Activités de sécurité sur un appareil spécifique triés par heure (la plus récente en premier).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Activités de sécurité pour l’administrateur
Activités de sécurité sur un appareil spécifique pour l’administrateur triés par heure (la plus récente en premier).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Activité d’ouverture de session par appareil
Compte les activités d’ouverture de session par appareil.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Appareils avec plus de 10 connexions
Compte les activités d’ouverture de session par appareil avec plus de 10 connexions.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Logiciel anti-programme malveillant arrêté pour les comptes
Comptes qui ont arrêté Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Appareils avec logiciel anti-programme malveillant arrêté
Appareils qui ont arrêté Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Appareils où le hachage a été exécuté
Appareils où hash.exe a été exécuté plus de 5 fois.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Noms de processus exécutés
Répertorie le nombre d’exécutions par processus.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Appareils avec journal de sécurité effacé
Appareils avec journal sécurisateur effacés.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Activité de connexion par compte
Activité d’ouverture de session par compte.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Comptes dont les connexions sont inférieures à 5 fois
Activité d’ouverture de session pour les comptes avec moins de 5 connexions.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Comptes connectés à distance sur les appareils
Comptes connectés à distance sur un appareil spécifique.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Ordinateurs avec ouvertures de session de compte invité
Ordinateurs avec connexions à partir de comptes invités.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Membres ajoutés aux groupes activés pour la sécurité
Membres ajoutés aux groupes activés pour la sécurité.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Modifications apportées à la stratégie de sécurité du domaine
Compte les événements de stratégie de domaine modifiés.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Modifications apportées à la stratégie d’audit système
La stratégie d’audit système a modifié les événements par ordinateur.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Exécutables suspects
Répertorie les exécutables suspects.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Ouvertures de session avec mot de passe de texte clair
Ouvertures de session avec mot de passe de texte clair par compte cible.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Ordinateurs avec journaux d’événements nettoyés
Ordinateurs avec journaux d’événements nettoyés.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Échec de l’ouverture de session des comptes
Nombres d’échecs de connexion par compte cible.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Comptes verrouillés
Compte les nombres verrouillés par compte cible.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Modifier ou réinitialiser les tentatives de mots de passe
Compte les tentatives de modification/réinitialisation des mots clés par compte cible.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Groupes créés ou modifiés
Groupes créés ou modifiés par compte cible.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Tentatives d’appel de procédure distante
Compte les tentatives d’appel de procédure distante par ordinateur.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Comptes d’utilisateur modifiés
Compte les modifications apportées au compte d’utilisateur par compte cible.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount