Étendre la couverture de chasse avancée avec les paramètres appropriés
S’applique à :
- Microsoft Defender XDR
La chasse avancée s’appuie sur des données provenant de diverses sources, notamment vos appareils, vos espaces de travail Office 365, Microsoft Entra ID et Microsoft Defender pour Identity. Pour obtenir les données les plus complètes possible, vérifiez que vous disposez des paramètres corrects dans les sources de données correspondantes.
Audit de sécurité avancé sur les appareils Windows
Activez ces paramètres d’audit avancés pour vous assurer d’obtenir des données sur les activités sur vos appareils, notamment la gestion des comptes locaux, la gestion des groupes de sécurité locaux et la création de services.
| Data | Description | Table de schéma | Procédure de configuration |
|---|---|---|---|
| Gestion des comptes | Événements capturés en tant que valeurs diverses ActionType indiquant la création, la suppression et d’autres activités liées au compte local |
DeviceEvents | - Déployer une stratégie d’audit de sécurité avancée : Auditer la gestion des comptes d’utilisateur - En savoir plus sur les stratégies d’audit de sécurité avancées |
| Gestion des groupes de sécurité | Événements capturés sous forme de différentes ActionType valeurs indiquant la création d’un groupe de sécurité local et d’autres activités de gestion de groupe local |
DeviceEvents | - Déployer une stratégie d’audit de sécurité avancée : Auditer la gestion des groupes de sécurité - En savoir plus sur les stratégies d’audit de sécurité avancées |
| Installation du service | Événements capturés avec la ActionType valeur ServiceInstalled, indiquant qu’un service a été créé |
DeviceEvents | - Déployer une stratégie d’audit de sécurité avancée : Auditer l’extension du système de sécurité - En savoir plus sur les stratégies d’audit de sécurité avancées |
capteur Microsoft Defender pour Identity sur le contrôleur de domaine
Si vous exécutez Active Directory localement, vous devez installer le capteur Microsoft Defender pour Identity sur le contrôleur de domaine pour obtenir des données pour Microsoft Defender pour Identity. Lorsqu’elles sont installées et correctement configurées, ces données alimentent également la chasse avancée via Microsoft Defender pour Identity et fournissent une image plus holistique des informations et des événements d’identité dans votre réseau. Ces données améliorent également la capacité des Microsoft Defender pour Identity à générer des alertes pertinentes qui sont également couvertes par la chasse avancée.
| Data | Description | Table de schéma | Procédure de configuration |
|---|---|---|---|
| Contrôleur de domaine | Les données de Active Directory local envoyées à Microsoft Defender pour Identity, ce qui enrichit les informations relatives à l’identité, telles que les détails du compte, l’activité d’ouverture de session et les requêtes Active Directory | Plusieurs tables, notamment IdentityInfo, IdentityLogonEvents et IdentityQueryEvents |
-
Installer le capteur Microsoft Defender pour Identity - Activer les événements Windows pertinents |
Remarque
Certaines tables de cet article peuvent ne pas être disponibles dans Microsoft Defender pour point de terminaison. Activez Microsoft Defender XDR pour rechercher les menaces à l’aide de sources de données supplémentaires. Vous pouvez déplacer vos flux de travail de chasse avancés de Microsoft Defender pour point de terminaison vers Microsoft Defender XDR en suivant les étapes décrites dans Migrer des requêtes de chasse avancées à partir de Microsoft Defender pour point de terminaison.
Voir aussi
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.