Я хотел бы использовать Azure Log Analytics для создания оповещения о возможных попытках перебора учетных записей моих пользователей. То есть я хотел бы получить уведомление от Azure (или, по крайней мере, иметь возможность вручную запустить сценарий для получения данных), когда учетная запись пользователя успешно аутентифицирована в O365 после ряда неудачных попыток.
Я знаю, как анализировать журналы, чтобы, например, получить количество неудачных попыток входа всех пользователей в течение определенного периода (см. Пример ниже):
SigninLogs
| where TimeGenerated between(datetime("2018-11-19 00:00:00") .. datetime("2018-11-19 23:59:59"))
| where ResultType == "50074"
| summarize FailedSigninCount = count() by UserDisplayName
| sort by FailedSigninCount desc
Но я не знаю, как написать следующее:
- Пользователь создал 9 неудачных попыток входа (тип 50074) и создал успешную попытку входа.
- В течение 60-секундного периода.
Любая помощь будет принята с благодарностью.