Ampliación de la cobertura de búsqueda avanzada con la configuración adecuada
Se aplica a:
- Microsoft Defender XDR
La búsqueda avanzada se basa en datos procedentes de varios orígenes, incluidos los dispositivos, las áreas de trabajo de Office 365, Microsoft Entra ID y Microsoft Defender for Identity. Para obtener los datos más completos posibles, asegúrese de que tiene la configuración correcta en los orígenes de datos correspondientes.
Auditoría de seguridad avanzada en dispositivos Windows
Active esta configuración de auditoría avanzada para asegurarse de obtener datos sobre las actividades en los dispositivos, incluida la administración de cuentas local, la administración de grupos de seguridad local y la creación de servicios.
| Datos | Descripción | Tabla de esquema | Cómo establecer la configuración |
|---|---|---|---|
| Administración de cuentas | Eventos capturados como varios ActionType valores que indican la creación, eliminación y otras actividades relacionadas con la cuenta locales |
DeviceEvents | - Implementación de una directiva de auditoría de seguridad avanzada: Auditar la administración de cuentas de usuario - Más información sobre las directivas de auditoría de seguridad avanzada |
| Administración de grupos de seguridad | Eventos capturados como varios ActionType valores que indican la creación de grupos de seguridad locales y otras actividades de administración de grupos locales |
DeviceEvents | - Implementación de una directiva de auditoría de seguridad avanzada: Auditar la administración de grupos de seguridad - Más información sobre las directivas de auditoría de seguridad avanzada |
| Instalación del servicio | Eventos capturados con el ActionType valor ServiceInstalled, que indican que se ha creado un servicio |
DeviceEvents | - Implementación de una directiva de auditoría de seguridad avanzada: auditar la extensión del sistema de seguridad - Más información sobre las directivas de auditoría de seguridad avanzada |
Microsoft Defender for Identity sensor en el controlador de dominio
Si ejecuta Active Directory en el entorno local, debe instalar el sensor de Microsoft Defender for Identity en el controlador de dominio para obtener datos para Microsoft Defender for Identity. Cuando se instalan y configuran correctamente, estos datos también se alimentan de la búsqueda avanzada a través de Microsoft Defender for Identity y proporcionan una imagen más holística de la información de identidad y los eventos de la red. Estos datos también mejoran la capacidad de Microsoft Defender for Identity para generar alertas pertinentes que también están cubiertas por la búsqueda avanzada.
| Datos | Descripción | Tabla de esquema | Cómo establecer la configuración |
|---|---|---|---|
| Controlador de dominio | Datos de Active Directory local enviados a Microsoft Defender for Identity, enriqueciendo información relacionada con la identidad, como detalles de la cuenta, actividad de inicio de sesión y consultas de Active Directory | Varias tablas, como IdentityInfo, IdentityLogonEvents e IdentityQueryEvents |
-
Instalación del sensor de Microsoft Defender for Identity - Activar eventos de Windows relevantes |
Nota:
Es posible que algunas tablas de este artículo no estén disponibles en Microsoft Defender para punto de conexión. Active Microsoft Defender XDR para buscar amenazas mediante más orígenes de datos. Puede mover los flujos de trabajo de búsqueda avanzados de Microsoft Defender para punto de conexión a Microsoft Defender XDR siguiendo los pasos descritos en Migración de consultas de búsqueda avanzadas desde Microsoft Defender para punto de conexión.
Temas relacionados
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.