Compartilhar via


Consultas para a tabela SecurityEvent

Para obter informações sobre como usar essas consultas no portal do Azure, consulte o tutorial do Log Analytics. Para a API REST, consulte Consulta.

IDs de eventos mais comuns de eventos de segurança

Essa consulta exibe uma lista decrescente da quantidade de eventos ingeridos por EventId para Auditoria de Segurança.

SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc

Membros adicionados a grupos de segurança

Quem foi adicionado ao grupo habilitado para segurança no último dia?

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution

Usos da senha de texto não criptografado

Liste todas as contas que fizeram logon usando uma senha de texto não criptografado no último dia.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Logins com falha no Windows

Encontre relatórios de contas do Windows que não conseguiram fazer login.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

Todas as Atividades de Segurança

Atividades de segurança classificadas por tempo (mais recentes primeiro).

SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Atividades de segurança no dispositivo

Atividades de segurança em um dispositivo específico classificadas por hora (mais recente primeiro).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Atividades de segurança para administrador

Atividades de segurança em um dispositivo específico para administrador classificadas por tempo (mais recente primeiro).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com"  // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

Atividade de logon por dispositivo

Conta as atividades de logon por dispositivo.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer

Dispositivos com mais de 10 logons

Conta as atividades de logon por dispositivos com mais de 10 logons.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10

Contas encerradas antimalware

Contas que encerraram o Microsoft Antimalware.

SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account

Dispositivos com antimalware encerrado

Dispositivos que encerraram o Microsoft Antimalware.

SecurityEvent
| where EventID == 4689 
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer

Dispositivos em que o hash foi executado

Dispositivos em que hash.exe foi executado mais de 5 vezes.

SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5

Nomes de processos executados

Lista o número de execuções por processo.

SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName

Dispositivos com log de segurança limpo

Dispositivos com log de segurança limpo.

SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer

Atividade de Logon por Conta

Atividade de logon por conta.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account

Contas com menos de 5 vezes os logons

Atividade de logon para contas com menos de 5 logons.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5

Contas registradas remotas em dispositivos

Contas registradas remotas em um dispositivo específico.

SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account

Computadores com logons de conta de convidado

Computadores com logons de contas de convidado.

SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer

Membros adicionados a grupos habilitados para segurança

Membros adicionados aos grupos habilitados para segurança.

SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount

Alterações na política de segurança do domínio

Conta os eventos da política de domínio alterados.

SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged

Alterações na política de auditoria do sistema

A política de auditoria do sistema alterou eventos por computador.

SecurityEvent
| where EventID == 4719
| summarize count() by Computer

Executáveis suspeitos

Lista executáveis suspeitos.

SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5

Logons com senha de texto não criptografado

Logons com senha de texto não criptografado por conta de destino.

SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount

Computadores com logs de eventos limpos

Computadores com logs de eventos limpos.

SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer

Contas falhou ao fazer logon

Conta logons com falha por conta de destino.

SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount

Contas bloqueadas

Contagens bloqueadas por conta de destino.

SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount

Tentativas de alteração ou redefinição de senhas

Conta as tentativas de alteração/redefinição de paswords por conta de destino.

SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount

Grupos criados ou modificados

Grupos criados ou modificados por conta de destino.

SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount

Tentativas de chamada de procedimento remoto

Conta as tentativas de chamada de procedimento remoto por computador.

SecurityEvent
| where EventID == 5712
| summarize count() by Computer

Contas de usuário alteradas

Conta as alterações da conta de usuário por conta de destino.

SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount