使用正确的设置扩展高级搜寻覆盖范围
适用于:
- Microsoft Defender XDR
高级搜寻依赖于来自各种源的数据,包括设备、Office 365工作区、Microsoft Entra ID和Microsoft Defender for Identity。 若要尽可能获取最全面的数据,请确保在相应的数据源中具有正确的设置。
Windows 设备上的高级安全审核
启用这些高级审核设置,确保获取有关设备上活动的数据,包括本地帐户管理、本地安全组管理和服务创建。
| 数据 | 说明 | 架构表 | 如何配置 |
|---|---|---|---|
| 帐户管理 | 以各种 ActionType 值的形式捕获的事件,指示本地帐户创建、删除和其他帐户相关活动 |
DeviceEvents | - 部署高级安全审核策略: 审核用户帐户管理 - 了解高级安全审核策略 |
| 安全组管理 | 以各种 ActionType 值的形式捕获的事件,指示本地安全组创建和其他本地组管理活动 |
DeviceEvents | - 部署高级安全审核策略: 审核安全组管理 - 了解高级安全审核策略 |
| 服务安装 | 使用 ActionType 值 ServiceInstalled捕获的事件,指示已创建服务 |
DeviceEvents | - 部署高级安全审核策略: 审核安全系统扩展 - 了解高级安全审核策略 |
域控制器上的Microsoft Defender for Identity传感器
如果在本地运行 Active Directory,则需要在域控制器上安装 Microsoft Defender for Identity 传感器,以获取Microsoft Defender for Identity的数据。 安装并正确配置后,此数据还会通过Microsoft Defender for Identity馈入高级搜寻,并提供网络中标识信息和事件的更全面情况。 此数据还增强了Microsoft Defender for Identity生成高级搜寻也涵盖的相关警报的能力。
| 数据 | 说明 | 架构表 | 如何配置 |
|---|---|---|---|
| 域控制器 | 发送到Microsoft Defender for Identity的本地 Active Directory数据,丰富了标识相关信息,例如帐户详细信息、登录活动和 Active Directory 查询 | 多个表,包括 IdentityInfo、 IdentityLogonEvents 和 IdentityQueryEvents |
-
安装Microsoft Defender for Identity传感器 - 打开相关的 Windows 事件 |
注意
本文中的某些表在 Microsoft Defender for Endpoint 中可能不可用。 启用Microsoft Defender XDR,以使用更多数据源搜寻威胁。 可以按照从 Microsoft Defender for Endpoint 迁移高级搜寻查询中的步骤,将高级搜寻工作流从 Microsoft Defender for Endpoint 移动到 Microsoft Defender XDR。
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。