| DisplayName | ID | Target | Category | Enabled | Alert Generate |
| Regel für verdächtige Aktivität durch ungewöhnliches Verhalten | Microsoft.AdvancedThreatAnalytics.1_7.Center.AbnormalBehaviorSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität durch ungewöhnlichen SMB | Microsoft.AdvancedThreatAnalytics.1_7.Center.AbnormalSmbSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität durch Kontoenumeration | Microsoft.AdvancedThreatAnalytics.1_7.Center.AccountEnumerationSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität durch Brute-Force-Angriff | Microsoft.AdvancedThreatAnalytics.1_7.Center.BruteForceSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Warnungsregel für die Überwachung des verfügbaren Speicherplatzes auf dem Datenlaufwerk der Center-Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.CenterDatabaseDataDriveFreeSpaceMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | AvailabilityHealth | True | True |
| Warnungsregel für die Überwachung auf Center-Überladung | Microsoft.AdvancedThreatAnalytics.1_7.Center.CenterOverloadedMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceHealth | True | True |
| Warnungsregel für die Überwachung auf Zertifikatsablauf | Microsoft.AdvancedThreatAnalytics.1_7.Center.CertificateExpiryMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | ConfigurationHealth | True | True |
| Regel für verdächtige Aktivität durch Fehler bei der Vorauthentifizierung des Computers | Microsoft.AdvancedThreatAnalytics.1_7.Center.ComputerPreauthenticationFailedSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| AtSVC-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseAtSvcBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| DirectoryServicesActivity-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseDirectoryServicesActivityBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| Warnungsregel für die Überwachung auf getrennte Datenbankverbindungen | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseDisconnectedMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | AvailabilityHealth | True | True |
| DNS-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseDnsBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| DRSR-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseDrsrBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| KerberosAP-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseKerberosApBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| KerberosAS-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseKerberosAsBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| KerberosTGS-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseKerberosTgsBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| LDAP-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseLdapBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| LsaRPC-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseLsaRpcBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| Netlogon-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseNetlogonBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| NTLM-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseNtlmBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| NTLMEvent-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseNtlmEventBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| ServiceControl-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseServiceControlBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| SMB-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseSmbBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| SrvSVC-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseSrvSvcBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| TaskScheduler-Blockgröße für Datenbank | Microsoft.AdvancedThreatAnalytics.1_7.Center.DatabaseTaskSchedulerBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| Warnungsregel für die Überwachung auf Kennwortablauf für das Clientkonto der Verzeichnisdienste | Microsoft.AdvancedThreatAnalytics.1_7.Center.DirectoryServicesClientAccountPasswordExpiryMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | ConfigurationHealth | True | True |
| Regel für verdächtige Aktivität bei der Replikation der Verzeichnisdienste | Microsoft.AdvancedThreatAnalytics.1_7.Center.DirectoryServicesReplicationSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität durch DNS-Reconnaissance | Microsoft.AdvancedThreatAnalytics.1_7.Center.DnsReconnaissanceSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Warnungsregel für die Überwachung auf nicht zugewiesenen Domänensynchronizer | Microsoft.AdvancedThreatAnalytics.1_7.Center.DomainSynchronizerNotAssignedMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | ConfigurationHealth | True | True |
| Regel für verdächtige Aktivität zur Herabstufung der Verschlüsselung | Microsoft.AdvancedThreatAnalytics.1_7.Center.EncryptionDowngradeSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität zur Herabstufung der Verschlüsselung (Golden Ticket) | Microsoft.AdvancedThreatAnalytics.1_7.Center.EncryptionDowngradeSuspiciousActivity_GoldenTicket | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität zur Herabstufung der Verschlüsselung (Overpass-the-Hash) | Microsoft.AdvancedThreatAnalytics.1_7.Center.EncryptionDowngradeSuspiciousActivity_OverpasstheHash | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität zur Herabstufung der Verschlüsselung (Skeleton Key) | Microsoft.AdvancedThreatAnalytics.1_7.Center.EncryptionDowngradeSuspiciousActivity_SkeletonKey | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Blockgröße für EntityProfiler-Netzwerkaktivität | Microsoft.AdvancedThreatAnalytics.1_7.Center.EntityProfilerNetworkActivityBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| Blockgröße für EntityReceiver-Entitätsbatch | Microsoft.AdvancedThreatAnalytics.1_7.Center.EntityReceiverEntityBatchBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| Regel für verdächtige Aktivität durch Sitzungsenumeration | Microsoft.AdvancedThreatAnalytics.1_7.Center.EnumerateSessionsSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität durch gefälschtes PAC | Microsoft.AdvancedThreatAnalytics.1_7.Center.ForgedPacSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Warnungsregel für die Überwachung auf Fehler beim Netzwerkdatenerfassungs-Adapter des Gateways | Microsoft.AdvancedThreatAnalytics.1_7.Center.GatewayCaptureNetworkAdapterFaultedMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | AvailabilityHealth | True | True |
| Warnungsregel für die Überwachung auf das Fehlen eines Netzwerkdatenerfassungs-Adapters auf dem Gateway | Microsoft.AdvancedThreatAnalytics.1_7.Center.GatewayCaptureNetworkAdapterMissingMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | ConfigurationHealth | True | True |
| Warnungsregel für die Überwachung der Clientkonnektivität der Gatewayverzeichnisdienste | Microsoft.AdvancedThreatAnalytics.1_7.Center.GatewayDirectoryServicesClientConnectivityMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | AvailabilityHealth | True | True |
| Warnungsregel für die Überwachung auf getrennte Gatewayverbindungen | Microsoft.AdvancedThreatAnalytics.1_7.Center.GatewayDisconnectedMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | AvailabilityHealth | True | True |
| Warnungsregel für die Überwachung auf unzureichenden Gatewayarbeitsspeicher | Microsoft.AdvancedThreatAnalytics.1_7.Center.GatewayLowMemoryMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceHealth | True | True |
| Warnungsregel für die Überwachung auf nicht vom Gateway erhaltenen Datenverkehr | Microsoft.AdvancedThreatAnalytics.1_7.Center.GatewayNotReceivingTrafficMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | AvailabilityHealth | True | True |
| Warnungsregel für die Überwachung von Ereignisaktivitäten aufgrund von Gatewayüberladung | Microsoft.AdvancedThreatAnalytics.1_7.Center.GatewayOverloadedEventActivitiesMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceHealth | True | True |
| Warnungsregel für die Überwachung von Netzwerkaktivitäten aufgrund von Gatewayüberladung | Microsoft.AdvancedThreatAnalytics.1_7.Center.GatewayOverloadedNetworkActivitiesMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceHealth | True | True |
| Warnungsregel für die Überwachung auf veraltete Gateways | Microsoft.AdvancedThreatAnalytics.1_7.Center.GatewaysOutdatedMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | ConfigurationHealth | True | True |
| Warnungsregel für die Überwachung auf Fehler beim Gatewaystart | Microsoft.AdvancedThreatAnalytics.1_7.Center.GatewayStartFailureMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | AvailabilityHealth | True | True |
| Regel für verdächtige Aktivität durch Honeytokenaktivität | Microsoft.AdvancedThreatAnalytics.1_7.Center.HoneytokenActivitySuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität durch LDAP-Klartextkennwort bei einfacher Bindung | Microsoft.AdvancedThreatAnalytics.1_7.Center.LdapSimpleBindCleartextPasswordSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Warnungsregel für die Überwachung von E-Mail | Microsoft.AdvancedThreatAnalytics.1_7.Center.MailMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | ConfigurationHealth | True | True |
| Regel für verdächtige Aktivität durch umfangreiche Objektlöschungen | Microsoft.AdvancedThreatAnalytics.1_7.Center.MassiveObjectDeletionSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Blockgröße für NetworkActivityProcessor-Netzwerkaktivität | Microsoft.AdvancedThreatAnalytics.1_7.Center.NetworkActivityProcessorNetworkActivityBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Center | PerformanceCollection | True | False |
| Regel für verdächtige Aktivität durch Pass-the-Hash | Microsoft.AdvancedThreatAnalytics.1_7.Center.PassTheHashSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität durch Pass-the-Ticket | Microsoft.AdvancedThreatAnalytics.1_7.Center.PassTheTicketSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität durch Remoteausführung | Microsoft.AdvancedThreatAnalytics.1_7.Center.RemoteExecutionSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität beim Abrufen des Datenschutz-Sicherungsschlüssels | Microsoft.AdvancedThreatAnalytics.1_7.Center.RetrieveDataProtectionBackupKeySuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Regel für verdächtige Aktivität durch SAMR-Reconnaissance | Microsoft.AdvancedThreatAnalytics.1_7.Center.SamrReconnaissanceSuspiciousActivity | Microsoft.AdvancedThreatAnalytics.1_7.Center | SecurityHealth | False | True |
| Warnungsregel für die Syslog-Überwachung | Microsoft.AdvancedThreatAnalytics.1_7.Center.SyslogMonitoringAlert | Microsoft.AdvancedThreatAnalytics.1_7.Center | ConfigurationHealth | True | True |
| ATA-Gateway konnte sich nicht beim Domänencontroller authentifizieren | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.ActiveDirectoryAuthenticationFailure | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| Indikatoren sind möglicherweise in der Registrierung deaktiviert | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.CountersDisabled | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| Blockgröße für EntityResolver-Aktivität | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.EntityResolverActivityBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| Blockgröße für EntitySender-Entitätsbatch | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.EntitySenderEntityBatchBlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| Sendezeit für EntitySender-Entitätsbatch | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.EntitySenderEntityBatchSendTime | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| ATA-Gateway konnte sich nicht bei Center authentifizieren | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.FailedToAuthenticateAgainstCenter | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| ATA-Gateway konnte keine Verbindung mit ATA Center herstellen | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.FailedToEstablishConnectionToCenter | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| ATA-Gateway konnte die SIEM-Syslog-Nachricht nicht analysieren | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.FailedToParseSyslog | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| ATA-Gateway konnte den Domänencontroller nicht über das LDAP-Protokoll abfragen | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.FailedToQueryDCUsingLDAPProtocol | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| ATA-Gateway konnte die Konfiguration nicht von ATA Center synchronisieren | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.FailedToSynchronizeConfigurationFromCenter | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| ATA-Gateway konnte die Center-Zertifikatkette nicht überprüfen | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.FailedToValidateCenterCertificateChain | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| ATA-Gateway besitzt nicht genügend Arbeitsspeicher | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.GatewayDoesNotHaveEnoughMemory | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| Maximale Größe des zugesicherten Arbeitsspeichers für GatewayUpdaterResourceManager | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.GatewayUpdaterResourceManagerCommitMemoryMaxSize | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| Max. CPU-Zeit für GatewayUpdaterResourceManager in \% | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.GatewayUpdaterResourceManagerCPUTimeMax_ | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| Größe des Grenzwerts für den GatewayUpdaterResourceManager-Arbeitssatz | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.GatewayUpdaterResourceManagerWorkingSetLimitSize | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| Ein Hosteintrag in der HOSTS-Datei verweist auf den Kurznamen des Computers | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.HostEntryInHOSTSFile | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| Nachrichtenanalyse ist auf dem ATA-Gateway installiert | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.MessageAnalyzerIsInstalledOnGateway | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| Blockgröße 0 für NetworkActivityTranslator-Nachrichtendaten | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.NetworkActivityTranslatorMessageData0BlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| Blockgröße 1 für NetworkActivityTranslator-Nachrichtendaten | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.NetworkActivityTranslatorMessageData1BlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| Blockgröße 2 für NetworkActivityTranslator-Nachrichtendaten | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.NetworkActivityTranslatorMessageData2BlockSize | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| NetworkListener-ETW-Löschereignisse/Sek. | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.NetworkListenerETWDroppedEvents_Sec | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| NetworkListener-PEF-Löschereignisse/Sek. | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.NetworkListenerPEFDroppedEvents_Sec | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| Analysierte NetworkListener-PEF-Nachrichten/Sek. | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.NetworkListenerPEFParsedMessages_Sec | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | PerformanceCollection | True | False |
| Auf Ihrem Computer stehen noch weitere Installationen aus | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.OtherPendingInstallations | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| PEF (Nachrichtenanalyse) wurde nicht ordnungsgemäß installiert | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.PEFWasNotInstalledCorrectly | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |
| PIDs waren für Prozessnamen im ATA-Gateway aktiviert | Microsoft.AdvancedThreatAnalytics.1_7.Gateway.PIDsWasEnabledForProcessNamesInGateway | Microsoft.AdvancedThreatAnalytics.1_7.Gateway | AvailabilityHealth | True | True |