① ハッキングや不正アクセスの検出
失敗したログオン試行の回数が多いユーザーアカウントとIPアドレスをリストアップします。
index=your_index sourcetype="WinEventLog:Security" EventCode=4625 | stats count by Account_Name, src_ip | where count > 5
②脆弱性の検出
新しくインストールされたソフトウェアのリストを表示します。
index=your_index sourcetype="WinEventLog:System" EventCode=11707 | stats count by ComputerName, Software
③エラーの検出
アプリケーションエラーの詳細をリストアップします。
index=your_index sourcetype="WinEventLog:Application" EventCode=1000 | stats count by Message, ComputerName
④4. 不正アクセスの兆候
1時間内に10回以上ログオン試行があったIPアドレスをリストアップします。
index=your_index sourcetype="WinEventLog:Security" EventCode=4624 | bucket span=1h _time | stats count by _time, src_ip | where count > 10
⑤脆弱性スキャニングの検出
ネットワークスキャンや脆弱性スキャンの試行をリストアップします。
index=your_index sourcetype="network" (tag=scan OR tag=vulnerability) | stats count by src_ip, dest_ip, dest_port