استعلامات لجدول SecurityEvent

مقالة
02/18/2025

للحصول على معلومات حول استخدام هذه الاستعلامات في مدخل Microsoft Azure، راجع البرنامج التعليمي Log Analytics. للحصول على واجهة برمجة تطبيقات REST، راجع الاستعلام.

معرفات الأحداث الأكثر شيوعا لأحداث الأمان

يعرض هذا الاستعلام قائمة تنازلية لكمية الأحداث التي تم تناولها لكل EventId لتدقيق الأمان.

SecurityEvent
| where EventSourceName == "Microsoft-Windows-Security-Auditing"
| summarize EventCount = count() by EventID
| sort by EventCount desc

الأعضاء الذين تمت إضافتهم إلى مجموعات الأمان

من الذي تمت إضافته إلى المجموعة الممكنة للأمان خلال اليوم الأخير؟

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID in (4728, 4732, 4756) // these event IDs indicate a member was added to a security-enabled group
| summarize count() by SubjectAccount, Computer, _ResourceId
// This query requires the Security solution

استخدام كلمة مرور نصية واضحة

سرد جميع الحسابات التي سجلت الدخول باستخدام كلمة مرور نص واضح خلال اليوم الأخير.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4624 // event ID 4624: "an account was successfully logged on",
| where LogonType == 8 // logon type 8: "NetworkCleartext"
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

عمليات تسجيل الدخول الفاشلة في Windows

ابحث عن تقارير حسابات Windows التي فشلت في تسجيل الدخول.

// To create an alert for this query, click '+ New alert rule'
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount, Computer, _ResourceId // count the reported security events for each account
// This query requires the Security solution

كافة أنشطة الأمان

أنشطة الأمان التي تم فرزها حسب الوقت (الأحدث أولا).

SecurityEvent
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

أنشطة الأمان على الجهاز

أنشطة الأمان على جهاز معين تم فرزها حسب الوقت (الأحدث أولا).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com" // Replace with a specific computer name
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

أنشطة الأمان للمسؤول

أنشطة الأمان على جهاز معين للمسؤول تم فرزها حسب الوقت (الأحدث أولا).

SecurityEvent 
//| where Computer == "COMPUTER01.contoso.com"  // Replace with a specific computer name
| where TargetUserName == "Administrator"
| project TimeGenerated, Account, Activity, Computer
| sort by TimeGenerated desc

نشاط تسجيل الدخول حسب الجهاز

حساب أنشطة تسجيل الدخول لكل جهاز.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer

الأجهزة التي بها أكثر من 10 عمليات تسجيل دخول

حساب أنشطة تسجيل الدخول لكل جهاز مع أكثر من 10 عمليات تسجيل دخول.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Computer
| where LogonCount > 10

الحسابات التي تم إنهاؤها لمكافحة البرامج الضارة

الحسابات التي أنهت Microsoft Antimalware.

SecurityEvent
| where EventID == 4689
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Account

الأجهزة التي تم إنهاء برنامج الحماية من البرامج الضارة

الأجهزة التي أنهت Microsoft Antimalware.

SecurityEvent
| where EventID == 4689 
| where Process has "MsMpEng.exe" or ParentProcessName has "MsMpEng.exe"
| summarize TerminationCount = count() by Computer

الأجهزة التي تم تنفيذ التجزئة فيها

الأجهزة التي تم فيها تنفيذ hash.exe أكثر من 5 مرات.

SecurityEvent
| where EventID == 4688
| where Process has "hash.exe" or ParentProcessName has "hash.exe"
| summarize ExecutionCount = count() by Computer
| where ExecutionCount > 5

أسماء العمليات المنفذة

يسرد عدد عمليات التنفيذ لكل عملية.

SecurityEvent
| where EventID == 4688
| summarize ExecutionCount = count() by NewProcessName

الأجهزة التي تم مسح سجل الأمان بها

تم مسح الأجهزة التي بها سجل تأمين.

SecurityEvent
| where EventID == 1102
| summarize LogClearedCount = count() by Computer

نشاط تسجيل الدخول حسب الحساب

نشاط تسجيل الدخول حسب الحساب.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account

حسابات ذات تسجيل دخول أقل من 5 مرات

نشاط تسجيل الدخول للحسابات التي تقل عن 5 عمليات تسجيل دخول.

SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5

الحسابات المسجلة عن بعد على الأجهزة

الحسابات المسجلة عن بعد على جهاز معين.

SecurityEvent
| where EventID == 4624 and (LogonTypeName == "3 - Network" or LogonTypeName == "10 - RemoteInteractive")
//| where Computer == "Computer01.contoso.com" // Replace with a specific computer name
| summarize RemoteLogonCount = count() by Account

أجهزة الكمبيوتر التي تحتوي على تسجيلات دخول لحساب الضيف

أجهزة الكمبيوتر التي تحتوي على تسجيلات دخول من حسابات الضيوف.

SecurityEvent
| where EventID == 4624 and TargetUserName == 'Guest' and LogonType in (10, 3)
| summarize count() by Computer

الأعضاء الذين تمت إضافتهم إلى المجموعات الممكنة للأمان

تمت إضافة الأعضاء إلى المجموعات الممكنة للأمان.

SecurityEvent
| where EventID in (4728, 4732, 4756)
| summarize count() by SubjectAccount

تغييرات نهج أمان المجال

حساب أحداث نهج المجال التي تم تغييرها.

SecurityEvent
| where EventID == 4739
| summarize count() by DomainPolicyChanged

تغييرات نهج تدقيق النظام

قام نهج تدقيق النظام بتغيير الأحداث حسب الكمبيوتر.

SecurityEvent
| where EventID == 4719
| summarize count() by Computer

الملفات التنفيذية المشبوهة

يسرد الملفات التنفيذية المشبوهة.

SecurityEvent
| where EventID == 8002 and Fqbn == '-'
| summarize ExecutionCountHash=count() by FileHash
| where ExecutionCountHash <= 5

تسجيل الدخول باستخدام كلمة مرور نصية واضحة

تسجيل الدخول باستخدام كلمة مرور نصية واضحة حسب الحساب الهدف.

SecurityEvent
| where EventID == 4624 and LogonType == 8
| summarize count() by TargetAccount

أجهزة الكمبيوتر التي تحتوي على سجلات أحداث تم تنظيفها

أجهزة الكمبيوتر التي تحتوي على سجلات أحداث تم تنظيفها.

SecurityEvent
| where EventID in (1102, 517) and EventSourceName == 'Microsoft-Windows-Eventlog'
| summarize count() by Computer

فشل تسجيل الدخول إلى الحسابات

عدد عمليات تسجيل الدخول الفاشلة حسب الحساب الهدف.

SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount

حسابات مؤمنة

تحسب الحسابات المؤمنة حسب الحساب الهدف.

SecurityEvent
| where EventID == 4740
| summarize count() by TargetAccount

تغيير محاولات كلمات المرور أو إعادة تعيينها

تحسب محاولات تغيير/إعادة تعيين كلمات كلمة المرور لكل حساب هدف.

SecurityEvent
| where EventID in (4723, 4724)
| summarize count() by TargetAccount

المجموعات التي تم إنشاؤها أو تعديلها

المجموعات التي تم إنشاؤها أو تعديلها لكل حساب هدف.

SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount

محاولات استدعاء الإجراء عن بعد

حساب محاولات استدعاء الإجراء عن بعد لكل كمبيوتر.

SecurityEvent
| where EventID == 5712
| summarize count() by Computer

تم تغيير حسابات المستخدمين

تحسب تغييرات حساب المستخدم لكل حساب هدف.

SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount

مشاركة عبر