Laajennetun metsästyksen kattavuuden laajentaminen oikeilla asetuksilla
Koskee seuraavia:
- Microsoft Defender XDR
Kehittynyt metsästys perustuu eri lähteistä peräisin oleviin tietoihin, kuten laitteista, Office 365 työtiloista, Microsoft Entra ID ja Microsoft Defender for Identity. Jos haluat saada mahdollisimman kattavat tiedot, varmista, että vastaavissa tietolähteissä on oikeat asetukset.
Kehittynyt suojausvalvonta Windows-laitteissa
Ota käyttöön nämä lisävalvonta-asetukset varmistaaksesi, että saat tietoja laitteisiisi toiminnoista, kuten paikallisen tilin hallinnasta, paikallisen käyttöoikeusryhmän hallinnasta ja palvelun luomisesta.
Tietoja | Kuvaus | Rakennetaulukko | Määrittäminen |
---|---|---|---|
Tilinhallinta | Tapahtumat, jotka tallennetaan eri ActionType arvoina, jotka ilmaisevat paikallisen tilin luomista, poistamista ja muita tiliin liittyviä toimintoja |
DeviceEvents | - Ottaa käyttöön kehittyneen suojauksen valvontakäytännön: valvo käyttäjätilien hallintaa - Lue lisätietoja kehittyneistä suojauksen valvontakäytännöistä |
Käyttöoikeusryhmien hallinta | Eri arvoina ActionType talletetut tapahtumat, jotka ilmaisevat paikallisen käyttöoikeusryhmän luontia ja muita paikallisen ryhmän hallintatoimintoja |
DeviceEvents | – ottaa käyttöön kehittyneen suojauksen valvontakäytännön: valvontakäyttöoikeusryhmien hallinta - Lue lisätietoja kehittyneistä suojauksen valvontakäytännöistä |
Palvelun asennus | Tapahtumat, jotka on siepattu -arvolla ActionType ServiceInstalled , joka ilmaisee, että palvelu on luotu |
DeviceEvents | - Ottaa käyttöön kehittyneen suojauksen valvontakäytännön: valvonnan suojausjärjestelmän laajennus - Lue lisätietoja kehittyneistä suojauksen valvontakäytännöistä |
Microsoft Defender for Identity tunnistin toimialueen ohjauskoneeseen
Jos käytössäsi on Active Directory paikallisesti, sinun on asennettava Microsoft Defender for Identity tunnistin toimialueen ohjauskoneeseen, jotta saat tietoja Microsoft Defender for Identity. Kun tiedot on asennettu ja määritetty oikein, ne myös ruokkivat kehittynyttä metsästystä Microsoft Defender for Identity kautta ja antavat kokonaisvaltaisemman kuvan käyttäjätiedoista ja tapahtumista verkossasi. Nämä tiedot myös parantavat Microsoft Defender for Identity kykyä luoda asiaankuuluvia hälytyksiä, jotka kuuluvat myös kehittyneeseen metsästykseen.
Tietoja | Kuvaus | Rakennetaulukko | Määrittäminen |
---|---|---|---|
Toimialueen ohjain | Tiedot paikallinen Active Directory lähetetty Microsoft Defender for Identity, täydentäen käyttäjätietoihin liittyviä tietoja, kuten tilitietoja, kirjautumistoimintaa ja Active Directory -kyselyitä | Useita taulukoita, kuten IdentityInfo, IdentityLogonEvents ja IdentityQueryEvents | - Microsoft Defender for Identity tunnistimen asentaminen - Ota käyttöön tarvittavat Windows-tapahtumat |
Huomautus
Jotkin tämän artikkelin taulukot eivät ehkä ole käytettävissä Microsoft Defender for Endpoint. Ota Microsoft Defender XDR käyttöön uhkien etsimiseksi käyttämällä enemmän tietolähteitä. Voit siirtää kehittyneet metsästystyönkulut Microsoft Defender for Endpoint Microsoft Defender XDR noudattamalla kohdassa Kehittyneiden metsästyskyselyjen siirtäminen Microsoft Defender for Endpoint ohjeita.
Aiheeseen liittyvät artikkelit
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.