適切な設定で高度なハンティング カバレッジを拡張する
適用対象:
- Microsoft Defender XDR
高度なハンティングは、デバイス、Office 365 ワークスペース、Microsoft Entra ID、Microsoft Defender for Identityなど、さまざまなソースからのデータに依存します。 可能な限り最も包括的なデータを取得するには、対応するデータ ソースに正しい設定があることを確認します。
Windows デバイスでの高度なセキュリティ監査
これらの高度な監査設定をオンにして、ローカル アカウント管理、ローカル セキュリティ グループ管理、サービスの作成など、デバイス上のアクティビティに関するデータを確実に取得します。
| データ | 説明 | スキーマ テーブル | 構成する方法 |
|---|---|---|---|
| アカウント管理 | ローカル アカウントの作成、削除、およびその他のアカウント関連のアクティビティを示すさまざまな ActionType 値としてキャプチャされたイベント |
DeviceEvents | - 高度なセキュリティ監査ポリシーを展開する: ユーザー アカウント管理の監査 - 高度なセキュリティ監査ポリシーについて説明します |
| セキュリティ グループの管理 | ローカル セキュリティ グループの作成やその他のローカル グループ管理アクティビティを示すさまざまな ActionType 値としてキャプチャされたイベント |
DeviceEvents | - 高度なセキュリティ監査ポリシーを展開する: セキュリティ グループ管理の監査 - 高度なセキュリティ監査ポリシーについて説明します |
| サービスのインストール | サービスが作成されたことを示す ActionType 値 ServiceInstalledでキャプチャされたイベント |
DeviceEvents | - 高度なセキュリティ監査ポリシーを展開する: セキュリティ システム拡張機能の監査 - 高度なセキュリティ監査ポリシーについて説明します |
ドメイン コントローラーのMicrosoft Defender for Identity センサー
オンプレミスで Active Directory を実行している場合は、ドメイン コントローラーに Microsoft Defender for Identity センサーをインストールして、Microsoft Defender for Identityのデータを取得する必要があります。 インストールされ、適切に構成されると、このデータはMicrosoft Defender for Identityを介して高度なハンティングにフィードされ、ネットワーク内の ID 情報とイベントのより包括的な画像を提供します。 このデータは、高度なハンティングでもカバーされる関連アラートを生成するMicrosoft Defender for Identityの機能を強化します。
| データ | 説明 | スキーマ テーブル | 構成する方法 |
|---|---|---|---|
| ドメイン コントローラ | Microsoft Defender for Identityに送信されたオンプレミスの Active Directoryからのデータ。アカウントの詳細、ログオン アクティビティ、Active Directory クエリなどの ID 関連の情報を強化する | IdentityInfo、IdentityLogonEvents、IdentityQueryEvents などの複数のテーブル |
-
Microsoft Defender for Identity センサーをインストールする - 関連する Windows イベントを有効にする |
注:
この記事の一部のテーブルは、Microsoft Defender for Endpointでは使用できない場合があります。 Microsoft Defender XDRをオンにして、より多くのデータ ソースを使用して脅威を探します。 高度なハンティング ワークフローをMicrosoft Defender for EndpointからMicrosoft Defender XDRに移動するには、「高度なハンティング クエリをMicrosoft Defender for Endpointから移行する」の手順に従います。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。