Speciális veszélyforrás-keresési lefedettség kiterjesztése a megfelelő beállításokkal
Érintett szolgáltatás:
- Microsoft Defender XDR
A speciális veszélyforrás-keresés különböző forrásokból származó adatokra támaszkodik, beleértve az eszközöket, a Office 365-munkaterületeket, a Microsoft Entra ID és a Microsoft Defender for Identity. A lehető legátfogóbb adatok eléréséhez győződjön meg arról, hogy a megfelelő beállításokkal rendelkezik a megfelelő adatforrásokban.
Speciális biztonsági naplózás Windows-eszközökön
Kapcsolja be ezeket a speciális naplózási beállításokat, hogy adatokat kapjon az eszközein végzett tevékenységekről, beleértve a helyi fiókkezelést, a helyi biztonsági csoportok kezelését és a szolgáltatások létrehozását.
| Adatok | Leírás | Sématábla | Konfigurálás |
|---|---|---|---|
| Fiókkezelés | A helyi fióklétrehozást, -törlést és más fiókokkal kapcsolatos tevékenységeket jelző különböző ActionType értékekként rögzített események |
DeviceEvents | – Speciális biztonsági naplózási szabályzat üzembe helyezése: Felhasználói fiókok kezelésének naplózása - További információ a speciális biztonsági naplózási szabályzatokról |
| Biztonsági csoport kezelése | A helyi biztonsági csoportok létrehozását és más helyi csoportkezelési tevékenységeket jelző különböző ActionType értékekként rögzített események |
DeviceEvents | – Speciális biztonsági naplózási szabályzat üzembe helyezése: Biztonsági csoportkezelés naplózása - További információ a speciális biztonsági naplózási szabályzatokról |
| Szolgáltatás telepítése | A értékkel ServiceInstalledrögzített ActionType események, amelyek azt jelzik, hogy egy szolgáltatás létrejött |
DeviceEvents | – Speciális biztonsági naplózási szabályzat üzembe helyezése: Biztonsági rendszerbővítmény naplózása - További információ a speciális biztonsági naplózási szabályzatokról |
érzékelő Microsoft Defender for Identity a tartományvezérlőn
Ha a helyszínen futtatja az Active Directoryt, telepítenie kell a Microsoft Defender for Identity érzékelőt a tartományvezérlőre, hogy lekérhesse Microsoft Defender for Identity adatait. A telepítés és a megfelelő konfigurálás esetén ezek az adatok fejlett veszélyforrás-keresésbe is bekerülnek a Microsoft Defender for Identity keresztül, és átfogóbb képet ad a hálózat identitásadatairól és eseményeiről. Ezek az adatok azt is növelik, hogy Microsoft Defender for Identity a speciális veszélyforrás-keresés által érintett releváns riasztásokat generáljanak.
| Adatok | Leírás | Sématábla | Konfigurálás |
|---|---|---|---|
| Tartományvezérlő | A Microsoft Defender for Identity küldött helyi Active Directory adatai, az identitással kapcsolatos információk, például a fiókadatok, a bejelentkezési tevékenység és az Active Directory-lekérdezések bővítése | Több tábla, köztük az IdentityInfo, az IdentityLogonEvents és az IdentityQueryEvents | - A Microsoft Defender for Identity érzékelő telepítése - A megfelelő Windows-események bekapcsolása |
Megjegyzés:
Előfordulhat, hogy a cikkben szereplő táblák némelyike nem érhető el Végponthoz készült Microsoft Defender. Kapcsolja be a Microsoft Defender XDR, hogy több adatforrással keressen fenyegetéseket. A speciális veszélyforrás-keresési munkafolyamatokat Végponthoz készült Microsoft Defender-ról Microsoft Defender XDR-ra helyezheti át a speciális veszélyforrás-keresési lekérdezések áttelepítése Végponthoz készült Microsoft Defender.
Kapcsolódó témakörök
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: