Consultas para a tabela SecurityEvent
Para obter informações sobre como usar essas consultas no portal do Azure, consulte o tutorial do Log Analytics. Para a API REST, consulte Consulta.
IDs de eventos mais comuns de eventos de segurança
Essa consulta exibe uma lista decrescente da quantidade de eventos ingeridos por EventId para Auditoria de Segurança.
SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc
Membros adicionados a grupos de segurança
Quem foi adicionado ao grupo habilitado para segurança no último dia?
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution
Usos da senha de texto não criptografado
Liste todas as contas que fizeram logon usando uma senha de texto não criptografado no último dia.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Logins com falha no Windows
Encontre relatórios de contas do Windows que não conseguiram fazer login.
// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution
Todas as Atividades de Segurança
Atividades de segurança classificadas por tempo (mais recentes primeiro).
SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Atividades de segurança no dispositivo
Atividades de segurança em um dispositivo específico classificadas por hora (mais recente primeiro).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Atividades de segurança para administrador
Atividades de segurança em um dispositivo específico para administrador classificadas por tempo (mais recente primeiro).
SecurityEvent
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc
Atividade de logon por dispositivo
Conta as atividades de logon por dispositivo.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
Dispositivos com mais de 10 logons
Conta as atividades de logon por dispositivos com mais de 10 logons.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10
Contas encerradas antimalware
Contas que encerraram o Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account
Dispositivos com antimalware encerrado
Dispositivos que encerraram o Microsoft Antimalware.
SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer
Dispositivos em que o hash foi executado
Dispositivos em que hash.exe foi executado mais de 5 vezes.
SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5
Nomes de processos executados
Lista o número de execuções por processo.
SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName
Dispositivos com log de segurança limpo
Dispositivos com log de segurança limpo.
SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer
Atividade de Logon por Conta
Atividade de logon por conta.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
Contas com menos de 5 vezes os logons
Atividade de logon para contas com menos de 5 logons.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
Contas registradas remotas em dispositivos
Contas registradas remotas em um dispositivo específico.
SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account
Computadores com logons de conta de convidado
Computadores com logons de contas de convidado.
SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer
Membros adicionados a grupos habilitados para segurança
Membros adicionados aos grupos habilitados para segurança.
SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount
Alterações na política de segurança do domínio
Conta os eventos da política de domínio alterados.
SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged
Alterações na política de auditoria do sistema
A política de auditoria do sistema alterou eventos por computador.
SecurityEvent
| where EventID == 4719
| summarize count() by Computer
Executáveis suspeitos
Lista executáveis suspeitos.
SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5
Logons com senha de texto não criptografado
Logons com senha de texto não criptografado por conta de destino.
SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount
Computadores com logs de eventos limpos
Computadores com logs de eventos limpos.
SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer
Contas falhou ao fazer logon
Conta logons com falha por conta de destino.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
Contas bloqueadas
Contagens bloqueadas por conta de destino.
SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount
Tentativas de alteração ou redefinição de senhas
Conta as tentativas de alteração/redefinição de paswords por conta de destino.
SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount
Grupos criados ou modificados
Grupos criados ou modificados por conta de destino.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
Tentativas de chamada de procedimento remoto
Conta as tentativas de chamada de procedimento remoto por computador.
SecurityEvent
| where EventID == 5712
| summarize count() by Computer
Contas de usuário alteradas
Conta as alterações da conta de usuário por conta de destino.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount