Rozšíření rozšířeného pokrytí proaktivního vyhledávání pomocí správných nastavení
Platí pro:
- Microsoft Defender XDR
Rozšířené proaktivní vyhledávání závisí na datech pocházejících z různých zdrojů, včetně vašich zařízení, pracovních prostorů Office 365, Microsoft Entra ID a Microsoft Defender for Identity. Pokud chcete získat co nejkomplexnější data, ujistěte se, že máte v odpovídajících zdrojích dat správná nastavení.
Pokročilé auditování zabezpečení na zařízeních s Windows
Zapněte tato upřesňující nastavení auditování, abyste měli jistotu, že získáte data o aktivitách na vašich zařízeních, včetně správy místních účtů, místní skupiny zabezpečení a vytváření služeb.
| Data | Popis | Tabulka schématu | Postup konfigurace |
|---|---|---|---|
| Správa účtů | Události zachycené jako různé ActionType hodnoty označující vytvoření, odstranění místního účtu a další aktivity související s účtem |
DeviceEvents | – Nasazení pokročilých zásad auditu zabezpečení: Audit správy uživatelských účtů - Informace o pokročilých zásadách auditu zabezpečení |
| Správa skupin zabezpečení | Události zachycené jako různé ActionType hodnoty označující vytvoření místní skupiny zabezpečení a další aktivity správy místních skupin |
DeviceEvents | – Nasazení pokročilých zásad auditu zabezpečení: Auditovat správu skupin zabezpečení - Informace o pokročilých zásadách auditu zabezpečení |
| Instalace služby | Události zachycené s ActionType hodnotou ServiceInstalled, která označuje, že byla vytvořena služba |
DeviceEvents | – Nasazení pokročilých zásad auditu zabezpečení: Audit rozšíření systému zabezpečení - Informace o pokročilých zásadách auditu zabezpečení |
Microsoft Defender for Identity senzor na řadiči domény
Pokud používáte službu Active Directory místně, musíte nainstalovat senzor Microsoft Defender for Identity na řadič domény, abyste získali data pro Microsoft Defender for Identity. Když jsou tato data nainstalovaná a správně nakonfigurovaná, také se prostřednictvím Microsoft Defender for Identity zasílají do pokročilého proaktivního vyhledávání a poskytují ucelenější obraz informací o identitě a událostech ve vaší síti. Tato data také zlepšují schopnost Microsoft Defender for Identity generovat relevantní výstrahy, na které se vztahuje také rozšířené proaktivní vyhledávání.
| Data | Popis | Tabulka schématu | Postup konfigurace |
|---|---|---|---|
| Řadič domény | Data z místní Active Directory odesílaná do Microsoft Defender for Identity, což rozšiřuje informace související s identitou, jako jsou podrobnosti o účtu, přihlašovací aktivita a dotazy služby Active Directory. | Více tabulek, včetně IdentityInfo, IdentityLogonEvents a IdentityQueryEvents |
-
Instalace senzoru Microsoft Defender for Identity - Zapnutí relevantních událostí Windows |
Poznámka
Některé tabulky v tomto článku nemusí být v Microsoft Defender for Endpoint dostupné. Zapněte Microsoft Defender XDR pro vyhledávání hrozeb s využitím více zdrojů dat. Pokročilé pracovní postupy proaktivního vyhledávání můžete přesunout z Microsoft Defender for Endpoint do Microsoft Defender XDR pomocí kroků v tématu Migrace dotazů rozšířeného proaktivního vyhledávání z Microsoft Defender for Endpoint.
Související témata
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.