Escolar Documentos
Profissional Documentos
Cultura Documentos
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes,
Timestamp
------------------------------------------------------------------------------------------------------------------------------
-----------
// Detecções de e-mail de phishing pós-entrega não corrigidas.
// Exibir detecções de e-mail de phishing pós-entrega que não foram corrigidas.
EmailPostDeliveryEvents
| where ActionType == 'Phish ZAP' and ActionResult == 'Error'
| join EmailEvents on NetworkMessageId, RecipientEmailAddress
| take 100
------------------------------------------------------------------------------------------------------------------------------
----------
// Ações do administrador pós-entrega.
// Exibe as ações pós-entrega feitas pelo administrador.
EmailPostDeliveryEvents
| where ActionTrigger == 'AdminAction'
| take 100
-------------------------------------------------------------------------------------------------------------------------------------------
----------
// Logs relacionados a um ID de usuário específico
// Uma lista de logs que contém o ID de usuário específico
SignalRServiceDiagnosticLogs
// Enter UserId value to filter by specific user ID.
| where UserId == ""
| sort by TimeGenerated asc
| take 100
---------------------------------------------------------------------------------------------------------------------------------------------------------
--------------
// Falha ao fazer logons nas contas
// Conta logons com falha por conta de destino.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
------------------------------------------------------------------------------------------------------------------------------
----------
// Contas com menos de 5 logins
// Atividade de logon para contas com menos de 5 logons.
SecurityEvent
| where EventID == 4624
| summarize LogonCount = count() by Account
| where LogonCount < 5
------------------------------------------------------------------------------------------------------------------------------
-----------
// Atividade do IP
// Lista as atividades envolvendo um determinado IP.
let IP="1.2.3.255";
CommonSecurityLog
| where SourceIP == IP or DestinationIP==IP
------------------------------------------------------------------------------------------------------------------------------
----------
// Todos os incidentes criados hoje
// Recupera todos os itens de trabalho do Incidente gerados nesta solução durante o último dia.
ServiceDesk_CL
|where ServiceDeskWorkItemType_s == "Incident" and CreatedDate_t > bin(now(), 1d)
| summarize arg_max(TimeGenerated, *) by ServiceDeskId_s
| sort by TimeGenerated desc
---------------------------------------------------------------------------------------------------------------------------------------------------------
----------
// Todas as comunicações de saída por endereço IP remoto.
WireData
| where Direction == "Outbound"
| summarize count() by RemoteIP
------------------------------------------------------------------------------------------------------------------------------
---------
// Atividade do Azure para usuário
// Mostra a atividade do usuário na Atividade do Azure.
// Substitui o UPN na consulta pelo UPN do usuário de interesse
let v_Users_UPN= "osotnoc@contoso.com";
AzureActivity
| where Caller == v_Users_UPN
| project TimeGenerated, Caller, OperationName, ActivityStatus
-------------------------------------------------------------------------------------------------------------------------------------------
----------
// Grupos Criados ou Modificados
// Grupos criados ou modificados por conta de destino.
SecurityEvent
| where EventID in (4727, 4731, 4735, 4737, 4754, 4755)
| summarize count() by TargetAccount
-------------------------------------------------------------------------------------------------------------------------------------------
---------
//Serviços parados
// Lista as mudanças de serviço paradas classificadas por hora.
ConfigurationChange
| where ConfigChangeType == "WindowsServices" and SvcState == "Stopped"
| sort by TimeGenerated desc
------------------------------------------------------------------------------------------------------------------------------
---------
// Contas de usuário alteradas
// Conta as alterações da conta do usuário por conta de destino.
SecurityEvent
| where EventID in (4720, 4722)
| summarize by TargetAccount
------------------------------------------------------------------------------------------------------------------------------
--------
// Usuários acessando arquivos /
// Usuários classificados por número de arquivos OneDrive e SharePoint que acessaram.
OfficeActivity
| where OfficeWorkload in ("OneDrive", "SharePoint") and Operation in ("FileDownloaded",
"FileAccessed")
| summarize AccessedFilesCount = dcount(OfficeObjectId) by UserId, _ResourceId
| sort by AccessedFilesCount desc nulls last