Erweitern der erweiterten Huntingabdeckung mit den richtigen Einstellungen
Gilt für:
- Microsoft Defender XDR
Die erweiterte Suche basiert auf Daten aus verschiedenen Quellen, darunter Ihre Geräte, Ihre Office 365 Arbeitsbereiche, Microsoft Entra ID und Microsoft Defender for Identity. Um möglichst umfassende Daten zu erhalten, stellen Sie sicher, dass Sie in den entsprechenden Datenquellen über die richtigen Einstellungen verfügen.
Erweiterte Sicherheitsüberwachung auf Windows-Geräten
Aktivieren Sie diese erweiterten Überwachungseinstellungen, um sicherzustellen, dass Sie Daten zu Aktivitäten auf Ihren Geräten erhalten, einschließlich lokaler Kontoverwaltung, lokaler Sicherheitsgruppenverwaltung und Diensterstellung.
| Daten | Beschreibung | Schematabelle | Konfigurieren von |
|---|---|---|---|
| Kontoverwaltung | Als verschiedene ActionType Werte erfasste Ereignisse, die auf die Erstellung, Löschung und andere kontobezogene Aktivitäten hinweisen |
DeviceEvents | – Bereitstellen einer erweiterten Sicherheitsüberwachungsrichtlinie: Überwachen der Benutzerkontenverwaltung - Informationen zu erweiterten Sicherheitsüberwachungsrichtlinien |
| Sicherheitsgruppenverwaltung | Ereignisse, die als verschiedene ActionType Werte erfasst werden, die auf die Erstellung einer lokalen Sicherheitsgruppe und andere Lokale Gruppenverwaltungsaktivitäten hinweisen |
DeviceEvents | – Bereitstellen einer erweiterten Sicherheitsüberwachungsrichtlinie: Sicherheitsgruppenverwaltung überwachen - Informationen zu erweiterten Sicherheitsüberwachungsrichtlinien |
| Dienstinstallation | Ereignisse, die mit dem ActionType Wert ServiceInstallederfasst werden, der angibt, dass ein Dienst erstellt wurde |
DeviceEvents | – Bereitstellen einer erweiterten Sicherheitsüberwachungsrichtlinie: Sicherheitssystemerweiterung überwachen - Informationen zu erweiterten Sicherheitsüberwachungsrichtlinien |
Microsoft Defender for Identity Sensor auf dem Domänencontroller
Wenn Sie Active Directory lokal ausführen, müssen Sie den Microsoft Defender for Identity Sensor auf dem Domänencontroller installieren, um Daten für Microsoft Defender for Identity abzurufen. Wenn diese Daten installiert und ordnungsgemäß konfiguriert sind, fließen sie auch in die erweiterte Suche über Microsoft Defender for Identity ein und bieten ein ganzheitlicheres Bild der Identitätsinformationen und -ereignisse in Ihrem Netzwerk. Diese Daten verbessern auch die Fähigkeit von Microsoft Defender for Identity, relevante Warnungen zu generieren, die auch von der erweiterten Suche abgedeckt werden.
| Daten | Beschreibung | Schematabelle | Konfigurieren von |
|---|---|---|---|
| Domänencontroller | Daten aus lokales Active Directory an Microsoft Defender for Identity gesendet, um identitätsbezogene Informationen wie Kontodetails, Anmeldeaktivitäten und Active Directory-Abfragen anzureichern. | Mehrere Tabellen, einschließlich IdentityInfo, IdentityLogonEvents und IdentityQueryEvents |
-
Installieren des Microsoft Defender for Identity-Sensors - Aktivieren relevanter Windows-Ereignisse |
Hinweis
Einige Tabellen in diesem Artikel sind in Microsoft Defender for Endpoint möglicherweise nicht verfügbar. Aktivieren Sie Microsoft Defender XDR, um mithilfe weiterer Datenquellen nach Bedrohungen zu suchen. Sie können Ihre Workflows für die erweiterte Suche von Microsoft Defender for Endpoint auf Microsoft Defender XDR verschieben, indem Sie die Schritte unter Migrieren von Abfragen für erweiterte Suche von Microsoft Defender for Endpoint ausführen.
Verwandte Themen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.