Query per la tabella SecurityEvent
Per informazioni sull'uso di queste query nella portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.
ID eventi di sicurezza più comuni
Questa query visualizza un elenco decrescente della quantità di eventi inseriti per EventId per Security-Auditing.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Membri aggiunti ai gruppi di sicurezza
Chi è stato aggiunto al gruppo abilitato per la sicurezza nell'ultimo giorno?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Uso della password di testo non crittografato
Elencare tutti gli account che hanno eseguito l'accesso usando una password non crittografata nell'ultimo giorno.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Accessi non riusciti di Windows
Trovare i report degli account di Windows che non sono riusciti ad accedere.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Tutte le attività di sicurezza
Attività di sicurezza ordinate in base all'ora (più recente).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Attività di sicurezza nel dispositivo
Attività di sicurezza in un dispositivo specifico ordinato in base all'ora (più recente).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Attività di sicurezza per l'amministratore
Attività di sicurezza in un dispositivo specifico per l'amministratore ordinato in base all'ora (più recente).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Attività di accesso per dispositivo
Conta le attività di accesso per ogni dispositivo.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Dispositivi con più di 10 accessi
Conta le attività di accesso per ogni dispositivo con più di 10 accessi.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Account con terminazione di Antimalware
Account che hanno terminato Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Dispositivi con terminazione antimalware
Dispositivi che hanno terminato Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Dispositivi in cui è stato eseguito l'hash
Dispositivi in cui hash.exe è stato eseguito più di 5 volte.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Nomi di processo eseguiti
Elenca il numero di esecuzioni per processo.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Dispositivi con log di sicurezza cancellato
Dispositivi con log di protezione diretta cancellati.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Attività di accesso per account
Attività di accesso per account.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Account con meno di 5 volte accessi
Attività di accesso per gli account con meno di 5 accessi.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Account registrati in remoto nei dispositivi
Account registrati in remoto in un dispositivo specifico.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Computer con accessi account guest
Computer con accessi da account guest.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Membri aggiunti ai gruppi abilitati per la sicurezza
Membri aggiunti ai gruppi abilitati per la sicurezza.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Modifiche ai criteri di sicurezza del dominio
Conta gli eventi dei criteri di dominio modificati.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Modifiche ai criteri di controllo del sistema
I criteri di controllo del sistema hanno modificato gli eventi in base al computer.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
File eseguibili sospetti
Elenca i file eseguibili sospetti.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Accessi con password di testo non crittografato
Accessi con password di testo non crittografato per account di destinazione.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Computer con registri eventi puliti
Computer con registri eventi puliti.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Non è stato possibile accedere agli account
Conteggi degli accessi non riusciti per account di destinazione.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Account bloccati
Conta i conteggi bloccati in base all'account di destinazione.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Modificare o reimpostare i tentativi di password
Conta i tentativi di modifica/reimpostazione delle parole chiave per ogni account di destinazione.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Gruppi creati o modificati
Gruppi creati o modificati per ogni account di destinazione.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Tentativi di chiamata di procedura remota
Conta i tentativi di chiamata di procedura remota per computer.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Account utente modificati
Conta le modifiche dell'account utente per ogni account di destinazione.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount