使用正確的設定擴充進階搜捕涵蓋範圍
適用於:
- Microsoft Defender XDR
進階搜捕依賴來自各種來源的數據,包括您的裝置、您的 Office 365 工作區、Microsoft Entra ID 和 適用於身分識別的 Microsoft Defender。 若要盡可能取得最完整的數據,請確定您在相對應的數據源中有正確的設定。
Windows 裝置上的進階安全性稽核
開啟這些進階稽核設定,以確保您取得裝置上活動的相關數據,包括本機帳戶管理、本機安全組管理和服務建立。
| 資料 | 描述 | 架構數據表 | 如何設定 |
|---|---|---|---|
| Account management | 擷取為各種 ActionType 值的事件,指出本機帳戶建立、刪除和其他帳戶相關活動 |
DeviceEvents | - 部署進階安全性審核策略: 稽核用戶帳戶管理 - 了解進階安全性稽核原則 |
| 安全組管理 | 擷取為各種 ActionType 值的事件,指出本機安全組建立和其他本機群組管理活動 |
DeviceEvents | - 部署進階安全性審核策略: 稽核安全組管理 - 了解進階安全性稽核原則 |
| 服務安裝 | 以值ServiceInstalled擷ActionType取的事件,表示已建立服務 |
DeviceEvents | - 部署進階安全性審核策略: 稽核安全性系統延伸模組 - 了解進階安全性稽核原則 |
在域控制器上 適用於身分識別的 Microsoft Defender 感測器
如果您在內部部署執行 Active Directory,則必須在域控制器上安裝 適用於身分識別的 Microsoft Defender 感測器,以取得 適用於身分識別的 Microsoft Defender 的數據。 安裝並正確設定時,此資料也會透過 適用於身分識別的 Microsoft Defender 提供進階搜捕,並提供您網路中身分識別資訊和事件的更全面性資訊。 此數據也會增強 適用於身分識別的 Microsoft Defender 產生進階搜捕也涵蓋的相關警示的能力。
| 資料 | 描述 | 架構數據表 | 如何設定 |
|---|---|---|---|
| 網域控制站 | 從 內部部署的 Active Directory 傳送至 適用於身分識別的 Microsoft Defender 的數據,擴充身分識別相關信息,例如帳戶詳細數據、登入活動和 Active Directory 查詢 | 多個數據表,包括 IdentityInfo、 IdentityLogonEvents 和 IdentityQueryEvents |
-
安裝 適用於身分識別的 Microsoft Defender 感測器 - 開啟相關的 Windows 事件 |
注意事項
本文中的某些數據表可能無法在 適用於端點的 Microsoft Defender 中使用。 開啟 Microsoft Defender 全面偵測回應,以使用更多數據源來搜捕威脅。 您可以遵循從 適用於端點的 Microsoft Defender 移轉進階搜捕查詢中的步驟,將進階搜捕工作流程從 適用於端點的 Microsoft Defender 移至 Microsoft Defender 全面偵測回應。
相關主題
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。