Laajennetun metsästyksen kattavuuden laajentaminen oikeilla asetuksilla
Huomautus
Haluatko kokea Microsoft 365 Defender? Lue lisätietoja siitä, miten voit arvioida ja kokeilla Microsoft 365 Defender.
Koskee seuraavia:
- Microsoft 365 Defender
Kehittynyt metsästys perustuu eri lähteistä peräisin oleviin tietoihin, kuten laitteisiin, Office 365 työtiloihin, Azure AD ja Microsoft Defender for Identity. Jos haluat saada mahdollisimman kattavat tiedot, varmista, että vastaavissa tietolähteissä on oikeat asetukset.
Kehittynyt suojausvalvonta Windows-laitteissa
Ota käyttöön nämä lisävalvonta-asetukset varmistaaksesi, että saat tietoja laitteisiisi toiminnoista, kuten paikallisen tilin hallinnasta, paikallisen käyttöoikeusryhmän hallinnasta ja palvelun luomisesta.
| Tietoja | Kuvaus | Rakennetaulukko | Määrittäminen |
|---|---|---|---|
| Tilinhallinta | Tapahtumat, jotka tallennetaan eri ActionType arvoina, jotka ilmaisevat paikallisen tilin luomista, poistamista ja muita tiliin liittyviä toimintoja |
DeviceEvents | - Ottaa käyttöön kehittyneen suojauksen valvontakäytännön: valvo käyttäjätilien hallintaa - Lue lisätietoja kehittyneistä suojauksen valvontakäytännöistä |
| Käyttöoikeusryhmien hallinta | Eri arvoina ActionType talletetut tapahtumat, jotka ilmaisevat paikallisen käyttöoikeusryhmän luontia ja muita paikallisen ryhmän hallintatoimintoja |
DeviceEvents | – ottaa käyttöön kehittyneen suojauksen valvontakäytännön: valvontakäyttöoikeusryhmien hallinta - Lue lisätietoja kehittyneistä suojauksen valvontakäytännöistä |
| Palvelun asennus | Tapahtumat, jotka on siepattu -arvolla ActionTypeServiceInstalled, joka ilmaisee, että palvelu on luotu |
DeviceEvents | - Ottaa käyttöön kehittyneen suojauksen valvontakäytännön: valvonnan suojausjärjestelmän laajennus - Lue lisätietoja kehittyneistä suojauksen valvontakäytännöistä |
Microsoft Defender for Identity tunnistin toimialueen ohjauskoneeseen
Jos käytössäsi on Active Directory paikallisesti, sinun on asennettava Microsoft Defender for Identity tunnistin toimialueen ohjauskoneeseen, jotta saat tietoja Microsoft Defender for Identity. Kun tiedot on asennettu ja määritetty oikein, ne myös ruokkivat kehittynyttä metsästystä Microsoft Defender for Identity kautta ja antavat kokonaisvaltaisemman kuvan käyttäjätiedoista ja tapahtumista verkossasi. Nämä tiedot myös parantavat Microsoft Defender for Identity kykyä luoda asiaankuuluvia hälytyksiä, jotka kuuluvat myös kehittyneeseen metsästykseen.
| Tietoja | Kuvaus | Rakennetaulukko | Määrittäminen |
|---|---|---|---|
| Toimialueen ohjain | Tiedot paikallinen Active Directory lähetetty Microsoft Defender for Identity, täydentäen käyttäjätietoihin liittyviä tietoja, kuten tilitietoja, kirjautumistoimintaa ja Active Directory -kyselyitä | Useita taulukoita, kuten IdentityInfo, IdentityLogonEvents ja IdentityQueryEvents | - Microsoft Defender for Identity tunnistimen asentaminen - Ota käyttöön tarvittavat Windows-tapahtumat |
Huomautus
Jotkin tämän artikkelin taulukot eivät ehkä ole käytettävissä Microsoft Defender for Endpoint. Ota Microsoft 365 Defender käyttöön uhkien etsimiseksi käyttämällä enemmän tietolähteitä. Voit siirtää kehittyneet metsästystyönkulut Microsoft Defender for Endpoint Microsoft 365 Defender noudattamalla ohjeita kohdassa Kehittyneiden metsästyskyselyiden siirtäminen Microsoft Defender for Endpoint.