Speciális veszélyforrás-keresési lefedettség kiterjesztése a megfelelő beállításokkal
Érintett szolgáltatás:
- Microsoft Defender XDR
A speciális veszélyforrás-keresés különböző forrásokból származó adatokra támaszkodik, beleértve az eszközöket, a Office 365-munkaterületeket, a Microsoft Entra ID és a Microsoft Defender for Identity. A lehető legátfogóbb adatok eléréséhez győződjön meg arról, hogy a megfelelő beállításokkal rendelkezik a megfelelő adatforrásokban.
Speciális biztonsági naplózás Windows-eszközökön
Kapcsolja be ezeket a speciális naplózási beállításokat, hogy adatokat kapjon az eszközein végzett tevékenységekről, beleértve a helyi fiókkezelést, a helyi biztonsági csoportok kezelését és a szolgáltatások létrehozását.
Adat | Leírás | Sématábla | Konfigurálás |
---|---|---|---|
Fiókkezelés | A helyi fióklétrehozást, -törlést és más fiókokkal kapcsolatos tevékenységeket jelző különböző ActionType értékekként rögzített események |
DeviceEvents | – Speciális biztonsági naplózási szabályzat üzembe helyezése: Felhasználói fiókok kezelésének naplózása - További információ a speciális biztonsági naplózási szabályzatokról |
Biztonsági csoport kezelése | A helyi biztonsági csoportok létrehozását és más helyi csoportkezelési tevékenységeket jelző különböző ActionType értékekként rögzített események |
DeviceEvents | – Speciális biztonsági naplózási szabályzat üzembe helyezése: Biztonsági csoportkezelés naplózása - További információ a speciális biztonsági naplózási szabályzatokról |
Szolgáltatás telepítése | A értékkel ServiceInstalled rögzített ActionType események, amelyek azt jelzik, hogy egy szolgáltatás létrejött |
DeviceEvents | – Speciális biztonsági naplózási szabályzat üzembe helyezése: Biztonsági rendszerbővítmény naplózása - További információ a speciális biztonsági naplózási szabályzatokról |
érzékelő Microsoft Defender for Identity a tartományvezérlőn
Ha a helyszínen futtatja az Active Directoryt, telepítenie kell a Microsoft Defender for Identity érzékelőt a tartományvezérlőre, hogy lekérhesse Microsoft Defender for Identity adatait. A telepítés és a megfelelő konfigurálás esetén ezek az adatok fejlett veszélyforrás-keresésbe is bekerülnek a Microsoft Defender for Identity keresztül, és átfogóbb képet ad a hálózat identitásadatairól és eseményeiről. Ezek az adatok azt is növelik, hogy Microsoft Defender for Identity a speciális veszélyforrás-keresés által érintett releváns riasztásokat generáljanak.
Adat | Leírás | Sématábla | Konfigurálás |
---|---|---|---|
Tartományvezérlő | A Microsoft Defender for Identity küldött helyi Active Directory adatai, az identitással kapcsolatos információk, például a fiókadatok, a bejelentkezési tevékenység és az Active Directory-lekérdezések bővítése | Több tábla, köztük az IdentityInfo, az IdentityLogonEvents és az IdentityQueryEvents |
-
A Microsoft Defender for Identity érzékelő telepítése - A megfelelő Windows-események bekapcsolása |
Megjegyzés:
Előfordulhat, hogy a cikkben szereplő táblák némelyike nem érhető el Végponthoz készült Microsoft Defender. Kapcsolja be a Microsoft Defender XDR, hogy több adatforrással keressen fenyegetéseket. A speciális veszélyforrás-keresési munkafolyamatokat Végponthoz készült Microsoft Defender-ról Microsoft Defender XDR-ra helyezheti át a speciális veszélyforrás-keresési lekérdezések áttelepítése Végponthoz készült Microsoft Defender.
Kapcsolódó témakörök
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.