Расширение расширенного охвата охоты с помощью правильных параметров
Область применения:
- Microsoft Defender XDR
Расширенная охота зависит от данных, поступающих из различных источников, включая устройства, рабочие области Office 365, Microsoft Entra ID и Microsoft Defender для удостоверений. Чтобы получить максимально полные данные, убедитесь, что у вас есть правильные параметры в соответствующих источниках данных.
Расширенный аудит безопасности на устройствах с Windows
Включите эти расширенные параметры аудита, чтобы получить данные о действиях на устройствах, включая локальное управление учетными записями, локальное управление группами безопасности и создание службы.
| Data | Описание | Таблица схемы | Способ настройки |
|---|---|---|---|
| Управление учетными записями | События, записываемые в виде различных ActionType значений, указывающих на создание, удаление и другие действия, связанные с учетной записью |
DeviceEvents | — Развертывание расширенной политики аудита безопасности: аудит управления учетными записями пользователей - Сведения о расширенных политиках аудита безопасности |
| Управление группами безопасности | События, записываемые в виде различных ActionType значений, указывающих на создание локальной группы безопасности и другие действия по управлению локальной группой |
DeviceEvents | — Развертывание расширенной политики аудита безопасности: аудит управления группами безопасности - Сведения о расширенных политиках аудита безопасности |
| Установка службы | События, собранные со значением ActionTypeServiceInstalled, указывающим, что служба была создана |
DeviceEvents | — Развертывание расширенной политики аудита безопасности: расширение системы безопасности аудита - Сведения о расширенных политиках аудита безопасности |
Microsoft Defender для удостоверений датчика на контроллере домена
Если вы используете Active Directory локально, необходимо установить датчик Microsoft Defender для удостоверений на контроллере домена, чтобы получить данные для Microsoft Defender для удостоверений. При установке и правильной настройке эти данные также передаются в расширенную охоту через Microsoft Defender для удостоверений и предоставляют более целостную картину информации об удостоверениях и событиях в вашей сети. Эти данные также расширяют возможности Microsoft Defender для удостоверений для создания соответствующих оповещений, которые также охватываются расширенной охотой.
| Data | Описание | Таблица схемы | Способ настройки |
|---|---|---|---|
| Контроллер домена | Данные из локальная служба Active Directory отправляются в Microsoft Defender для удостоверений, обогащая сведения, связанные с удостоверениями, такие как сведения об учетной записи, действия входа и запросы Active Directory. | Несколько таблиц, включая IdentityInfo, IdentityLogonEvents и IdentityQueryEvents |
-
Установка датчика Microsoft Defender для удостоверений - Включение соответствующих событий Windows |
Примечание.
Некоторые таблицы в этой статье могут быть недоступны в Microsoft Defender для конечной точки. Включите Microsoft Defender XDR для поиска угроз с помощью дополнительных источников данных. Вы можете переместить расширенные рабочие процессы охоты с Microsoft Defender для конечной точки на Microsoft Defender XDR, выполнив действия, описанные в разделе Миграция расширенных запросов охоты из Microsoft Defender для конечной точки.
Статьи по теме
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.