Udvid avanceret jagtdækning med de rigtige indstillinger
Gælder for:
- Microsoft Defender XDR
Avanceret jagt er afhængig af data, der kommer fra forskellige kilder, herunder dine enheder, dine Office 365 arbejdsområder, Microsoft Entra ID og Microsoft Defender for Identity. Hvis du vil have de mest omfattende data, skal du sørge for, at du har de korrekte indstillinger i de tilsvarende datakilder.
Avanceret sikkerhedsovervågning på Windows-enheder
Slå disse avancerede overvågningsindstillinger til for at sikre, at du får data om aktiviteter på dine enheder, herunder lokal kontoadministration, lokal administration af sikkerhedsgrupper og oprettelse af tjenester.
| Data | Beskrivelse | Skematabel | Sådan konfigurerer du |
|---|---|---|---|
| Kontoadministration | Hændelser, der registreres som forskellige ActionType værdier, der angiver oprettelse af lokal konto, sletning og andre kontorelaterede aktiviteter |
DeviceEvents | – Udrul en avanceret sikkerhedsovervågningspolitik: Overvåg administration af brugerkonti - Få mere at vide om avancerede overvågningspolitikker for sikkerhed |
| Administration af sikkerhedsgrupper | Hændelser, der registreres som forskellige ActionType værdier, der angiver oprettelse af lokale sikkerhedsgrupper og andre lokale gruppeadministrationsaktiviteter |
DeviceEvents | – Udrul en avanceret sikkerhedsovervågningspolitik: Overvåg administration af sikkerhedsgrupper - Få mere at vide om avancerede overvågningspolitikker for sikkerhed |
| Tjenesteinstallation | Hændelser, der registreres med værdien ActionTypeServiceInstalled, hvilket angiver, at der er oprettet en tjeneste |
DeviceEvents | – Udrul en avanceret sikkerhedsovervågningspolitik: Overvåg sikkerhedssystemudvidelse - Få mere at vide om avancerede overvågningspolitikker for sikkerhed |
Microsoft Defender for Identity sensor på domænecontrolleren
Hvis du kører Active Directory i det lokale miljø, skal du installere Microsoft Defender for Identity-sensoren på domænecontrolleren for at hente data til Microsoft Defender for Identity. Når disse data er installeret og konfigureret korrekt, føres de også til avanceret jagt gennem Microsoft Defender for Identity og giver et mere holistisk billede af identitetsoplysninger og hændelser i dit netværk. Disse data forbedrer også muligheden for Microsoft Defender for Identity til at generere relevante beskeder, der også er omfattet af avanceret jagt.
| Data | Beskrivelse | Skematabel | Sådan konfigurerer du |
|---|---|---|---|
| Domænecontroller | Data fra Active Directory i det lokale miljø sendt til Microsoft Defender for Identity, forbedre identitetsrelaterede oplysninger, f.eks. kontooplysninger, logonaktivitet og Active Directory-forespørgsler | Flere tabeller, herunder IdentityInfo, IdentityLogonEvents og IdentityQueryEvents |
-
Installér Microsoft Defender for Identity-sensoren - Slå relevante Windows-hændelser til |
Bemærk!
Nogle tabeller i denne artikel er muligvis ikke tilgængelige i Microsoft Defender for Endpoint. Slå Microsoft Defender XDR til for at jage efter trusler ved hjælp af flere datakilder. Du kan flytte dine avancerede arbejdsprocesser for jagt fra Microsoft Defender for Endpoint til Microsoft Defender XDR ved at følge trinnene i Overfør avancerede jagtforespørgsler fra Microsoft Defender for Endpoint.
Relaterede emner
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.