Estendere la copertura di ricerca avanzata con le impostazioni corrette
Si applica a:
- Microsoft Defender XDR
La ricerca avanzata si basa sui dati provenienti da varie origini, inclusi i dispositivi, le aree di lavoro Office 365, Microsoft Entra ID e Microsoft Defender per identità. Per ottenere i dati più completi possibili, assicurarsi di avere le impostazioni corrette nelle origini dati corrispondenti.
Controllo avanzato della sicurezza nei dispositivi Windows
Attivare queste impostazioni di controllo avanzate per assicurarsi di ottenere dati sulle attività nei dispositivi, tra cui la gestione degli account locali, la gestione dei gruppi di sicurezza locali e la creazione del servizio.
| Data | Descrizione | Tabella dello schema | Configurazione |
|---|---|---|---|
| Gestione account | Eventi acquisiti come vari ActionType valori che indicano la creazione, l'eliminazione e altre attività correlate all'account locale |
DeviceEvents | - Distribuire un criterio di controllo di sicurezza avanzato: Audit User Account Management - Informazioni sui criteri di controllo di sicurezza avanzati |
| Gestione dei gruppi di sicurezza | Eventi acquisiti come vari ActionType valori che indicano la creazione del gruppo di sicurezza locale e altre attività di gestione dei gruppi locali |
DeviceEvents | - Distribuire un criterio di controllo di sicurezza avanzato: Controllare la gestione dei gruppi di sicurezza - Informazioni sui criteri di controllo di sicurezza avanzati |
| Installazione del servizio | Eventi acquisiti con il ActionType valore ServiceInstalled, che indica che è stato creato un servizio |
DeviceEvents | - Distribuire un criterio di controllo di sicurezza avanzato: Controllare l'estensione del sistema di sicurezza - Informazioni sui criteri di controllo di sicurezza avanzati |
Microsoft Defender per identità sensore nel controller di dominio
Se si esegue Active Directory in locale, è necessario installare il sensore Microsoft Defender per identità nel controller di dominio per ottenere i dati per Microsoft Defender per identità. Se installati e configurati correttamente, questi dati vengono inoltre inclusi nella ricerca avanzata tramite Microsoft Defender per identità e forniscono un quadro più olistico delle informazioni sull'identità e degli eventi nella rete. Questi dati migliorano anche la capacità di Microsoft Defender per identità di generare avvisi pertinenti che sono coperti anche dalla ricerca avanzata.
| Data | Descrizione | Tabella dello schema | Configurazione |
|---|---|---|---|
| Controller di dominio | I dati da Active Directory locale inviati a Microsoft Defender per identità, arricchendo le informazioni correlate all'identità, ad esempio i dettagli dell'account, l'attività di accesso e le query di Active Directory | Più tabelle, tra cui IdentityInfo, IdentityLogonEvents e IdentityQueryEvents |
-
Installare il sensore Microsoft Defender per identità - Attivare gli eventi di Windows pertinenti |
Nota
Alcune tabelle di questo articolo potrebbero non essere disponibili in Microsoft Defender per endpoint. Attivare Microsoft Defender XDR per cercare le minacce usando più origini dati. È possibile spostare i flussi di lavoro di ricerca avanzati da Microsoft Defender per endpoint a Microsoft Defender XDR seguendo la procedura descritta in Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per endpoint.
Argomenti correlati
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.