Jaa


Laajennetun metsästyksen kattavuuden laajentaminen oikeilla asetuksilla

Koskee seuraavia:

  • Microsoft Defender XDR

Kehittynyt metsästys perustuu eri lähteistä peräisin oleviin tietoihin, kuten laitteista, Office 365 työtiloista, Microsoft Entra ID ja Microsoft Defender for Identity. Jos haluat saada mahdollisimman kattavat tiedot, varmista, että vastaavissa tietolähteissä on oikeat asetukset.

Kehittynyt suojausvalvonta Windows-laitteissa

Ota käyttöön nämä lisävalvonta-asetukset varmistaaksesi, että saat tietoja laitteisiisi toiminnoista, kuten paikallisen tilin hallinnasta, paikallisen käyttöoikeusryhmän hallinnasta ja palvelun luomisesta.

Tietoja Kuvaus Rakennetaulukko Määrittäminen
Tilinhallinta Tapahtumat, jotka tallennetaan eri ActionType arvoina, jotka ilmaisevat paikallisen tilin luomista, poistamista ja muita tiliin liittyviä toimintoja DeviceEvents - Ottaa käyttöön kehittyneen suojauksen valvontakäytännön: valvo käyttäjätilien hallintaa
- Lue lisätietoja kehittyneistä suojauksen valvontakäytännöistä
Käyttöoikeusryhmien hallinta Eri arvoina ActionType talletetut tapahtumat, jotka ilmaisevat paikallisen käyttöoikeusryhmän luontia ja muita paikallisen ryhmän hallintatoimintoja DeviceEvents – ottaa käyttöön kehittyneen suojauksen valvontakäytännön: valvontakäyttöoikeusryhmien hallinta
- Lue lisätietoja kehittyneistä suojauksen valvontakäytännöistä
Palvelun asennus Tapahtumat, jotka on siepattu -arvolla ActionTypeServiceInstalled, joka ilmaisee, että palvelu on luotu DeviceEvents - Ottaa käyttöön kehittyneen suojauksen valvontakäytännön: valvonnan suojausjärjestelmän laajennus
- Lue lisätietoja kehittyneistä suojauksen valvontakäytännöistä

Microsoft Defender for Identity tunnistin toimialueen ohjauskoneeseen

Jos käytössäsi on Active Directory paikallisesti, sinun on asennettava Microsoft Defender for Identity tunnistin toimialueen ohjauskoneeseen, jotta saat tietoja Microsoft Defender for Identity. Kun tiedot on asennettu ja määritetty oikein, ne myös ruokkivat kehittynyttä metsästystä Microsoft Defender for Identity kautta ja antavat kokonaisvaltaisemman kuvan käyttäjätiedoista ja tapahtumista verkossasi. Nämä tiedot myös parantavat Microsoft Defender for Identity kykyä luoda asiaankuuluvia hälytyksiä, jotka kuuluvat myös kehittyneeseen metsästykseen.

Tietoja Kuvaus Rakennetaulukko Määrittäminen
Toimialueen ohjain Tiedot paikallinen Active Directory lähetetty Microsoft Defender for Identity, täydentäen käyttäjätietoihin liittyviä tietoja, kuten tilitietoja, kirjautumistoimintaa ja Active Directory -kyselyitä Useita taulukoita, kuten IdentityInfo, IdentityLogonEvents ja IdentityQueryEvents - Microsoft Defender for Identity tunnistimen asentaminen
- Ota käyttöön tarvittavat Windows-tapahtumat

Huomautus

Jotkin tämän artikkelin taulukot eivät ehkä ole käytettävissä Microsoft Defender for Endpoint. Ota Microsoft Defender XDR käyttöön uhkien etsimiseksi käyttämällä enemmän tietolähteitä. Voit siirtää kehittyneet metsästystyönkulut Microsoft Defender for Endpoint Microsoft Defender XDR noudattamalla kohdassa Kehittyneiden metsästyskyselyjen siirtäminen Microsoft Defender for Endpoint ohjeita.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.