Rozszerzanie zaawansowanego zasięgu wyszukiwania zagrożeń przy użyciu odpowiednich ustawień
Dotyczy:
- Microsoft Defender XDR
Zaawansowane wyszukiwanie zagrożeń opiera się na danych pochodzących z różnych źródeł, w tym urządzeń, obszarów roboczych Office 365, Tożsamość Microsoft Entra i Microsoft Defender for Identity. Aby uzyskać najbardziej kompleksowe dane, upewnij się, że masz odpowiednie ustawienia w odpowiednich źródłach danych.
Zaawansowane inspekcje zabezpieczeń na urządzeniach z systemem Windows
Włącz te zaawansowane ustawienia inspekcji, aby mieć pewność, że uzyskasz dane dotyczące działań na urządzeniach, w tym zarządzania kontami lokalnymi, zarządzania lokalnymi grupami zabezpieczeń i tworzenia usługi.
| Dane | Opis | Tabela schematów | Jak skonfigurować |
|---|---|---|---|
| Zarządzanie kontami | Zdarzenia przechwycone jako różne ActionType wartości wskazujące tworzenie, usuwanie i inne działania związane z kontem |
DeviceEvents | — Wdrażanie zaawansowanych zasad inspekcji zabezpieczeń: inspekcja zarządzania kontami użytkowników - Dowiedz się więcej o zaawansowanych zasadach inspekcji zabezpieczeń |
| Zarządzanie grupami zabezpieczeń | Zdarzenia przechwycone jako różne ActionType wartości wskazujące tworzenie lokalnych grup zabezpieczeń i inne działania zarządzania grupami lokalnymi |
DeviceEvents | — Wdrażanie zaawansowanych zasad inspekcji zabezpieczeń: Inspekcja zarządzania grupami zabezpieczeń - Dowiedz się więcej o zaawansowanych zasadach inspekcji zabezpieczeń |
| Instalacja usługi | Zdarzenia przechwycone z wartością ActionTypeServiceInstalledwskazującą, że usługa została utworzona |
DeviceEvents | — Wdrażanie zaawansowanych zasad inspekcji zabezpieczeń: inspekcja rozszerzenia systemu zabezpieczeń - Dowiedz się więcej o zaawansowanych zasadach inspekcji zabezpieczeń |
czujnik Microsoft Defender for Identity na kontrolerze domeny
Jeśli korzystasz z usługi Active Directory lokalnie, musisz zainstalować czujnik Microsoft Defender for Identity na kontrolerze domeny, aby pobrać dane dla Microsoft Defender for Identity. Po zainstalowaniu i prawidłowym skonfigurowaniu te dane są również przekazywane do zaawansowanego wyszukiwania zagrożeń za pośrednictwem Microsoft Defender for Identity i zapewniają bardziej całościowy obraz informacji o tożsamości i zdarzeniach w sieci. Te dane zwiększają również możliwość Microsoft Defender for Identity generowania odpowiednich alertów, które są również objęte zaawansowanym wyszukiwaniem zagrożeń.
| Dane | Opis | Tabela schematów | Jak skonfigurować |
|---|---|---|---|
| Kontroler domeny | Dane z lokalna usługa Active Directory wysyłane do Microsoft Defender for Identity, wzbogacające informacje związane z tożsamością, takie jak szczegóły konta, aktywność logowania i zapytania usługi Active Directory | Wiele tabel, w tym IdentityInfo, IdentityLogonEvents i IdentityQueryEvents |
-
Instalowanie czujnika Microsoft Defender for Identity - Włączanie odpowiednich zdarzeń systemu Windows |
Uwaga
Niektóre tabele w tym artykule mogą nie być dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender. Włącz Microsoft Defender XDR, aby wyszukiwać zagrożenia przy użyciu większej liczby źródeł danych. Zaawansowane przepływy pracy wyszukiwania zagrożeń można przenieść z Ochrona punktu końcowego w usłudze Microsoft Defender do Microsoft Defender XDR, wykonując kroki opisane w temacie Migrowanie zaawansowanych zapytań wyszukiwania zagrożeń z Ochrona punktu końcowego w usłudze Microsoft Defender.
Tematy pokrewne
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.