Utöka avancerad jakttäckning med rätt inställningar
Gäller för:
- Microsoft Defender XDR
Avancerad jakt är beroende av data som kommer från olika källor, inklusive dina enheter, dina Office 365 arbetsytor, Microsoft Entra ID och Microsoft Defender for Identity. För att få så omfattande data som möjligt kontrollerar du att du har rätt inställningar i motsvarande datakällor.
Avancerad säkerhetsgranskning på Windows-enheter
Aktivera dessa avancerade granskningsinställningar för att se till att du får data om aktiviteter på dina enheter, inklusive lokal kontohantering, hantering av lokala säkerhetsgrupper och skapande av tjänster.
| Data | Beskrivning | Schematabell | Så här konfigurerar du |
|---|---|---|---|
| Kontohantering | Händelser som samlas in som olika ActionType värden som anger skapande, borttagning och andra kontorelaterade aktiviteter |
DeviceEvents | – Distribuera en avancerad säkerhetsgranskningsprincip: Granska hantering av användarkonton - Läs mer om avancerade säkerhetsgranskningsprinciper |
| Hantering av säkerhetsgrupper | Händelser som samlas in som olika ActionType värden som anger skapande av lokala säkerhetsgrupper och andra lokala grupphanteringsaktiviteter |
DeviceEvents | – Distribuera en avancerad säkerhetsgranskningsprincip: Granska hantering av säkerhetsgrupper - Läs mer om avancerade säkerhetsgranskningsprinciper |
| Tjänstinstallation | Händelser som registrerats med ActionType värdet ServiceInstalled, som anger att en tjänst har skapats |
DeviceEvents | – Distribuera en avancerad säkerhetsgranskningsprincip: Granska säkerhetssystemtillägg - Läs mer om avancerade säkerhetsgranskningsprinciper |
Microsoft Defender for Identity sensor på domänkontrollanten
Om du kör Active Directory lokalt måste du installera Microsoft Defender for Identity sensorn på domänkontrollanten för att hämta data för Microsoft Defender for Identity. När dessa data installeras och konfigureras korrekt matas de också in i avancerad jakt genom Microsoft Defender for Identity och ger en mer holistisk bild av identitetsinformation och händelser i nätverket. Dessa data förbättrar också möjligheten för Microsoft Defender for Identity att generera relevanta aviseringar som också omfattas av avancerad jakt.
| Data | Beskrivning | Schematabell | Så här konfigurerar du |
|---|---|---|---|
| Domänkontrollant | Data från lokal Active Directory som skickas till Microsoft Defender for Identity, vilket berikar identitetsrelaterad information, till exempel kontoinformation, inloggningsaktivitet och Active Directory-frågor | Flera tabeller, inklusive IdentityInfo, IdentityLogonEvents och IdentityQueryEvents |
-
Installera Microsoft Defender for Identity-sensorn - Aktivera relevanta Windows-händelser |
Obs!
Vissa tabeller i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint. Aktivera Microsoft Defender XDR för att söka efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade jaktarbetsflöden från Microsoft Defender för Endpoint till Microsoft Defender XDR genom att följa stegen i Migrera avancerade jaktfrågor från Microsoft Defender för Endpoint.
Relaterade ämnen
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.