다음을 통해 공유


올바른 설정을 사용하여 고급 헌팅 범위 확장

적용 대상:

  • Microsoft Defender XDR

고급 헌팅은 디바이스, Office 365 작업 영역, Microsoft Entra ID 및 Microsoft Defender for Identity 비롯한 다양한 원본에서 들어오는 데이터를 사용합니다. 가능한 가장 포괄적인 데이터를 얻으려면 해당 데이터 원본에 올바른 설정이 있는지 확인합니다.

Windows 디바이스의 고급 보안 감사

이러한 고급 감사 설정을 켜서 로컬 계정 관리, 로컬 보안 그룹 관리 및 서비스 만들기를 비롯한 디바이스의 활동에 대한 데이터를 가져올 수 있도록 합니다.

데이터 설명 스키마 테이블 구성 방법
계정 관리 로컬 계정 만들기, 삭제 및 기타 계정 관련 활동을 나타내는 다양한 ActionType 값으로 캡처된 이벤트 DeviceEvents - 고급 보안 감사 정책 배포: 사용자 계정 관리 감사
- 고급 보안 감사 정책에 대해 알아보기
보안 그룹 관리 로컬 보안 그룹 만들기 및 기타 로컬 그룹 관리 활동을 나타내는 다양한 ActionType 값으로 캡처된 이벤트 DeviceEvents - 고급 보안 감사 정책 배포: 보안 그룹 관리 감사
- 고급 보안 감사 정책에 대해 알아보기
서비스 설치 ServiceInstalled으로 ActionType 캡처된 이벤트는 서비스가 생성되었음을 나타냅니다. DeviceEvents - 고급 보안 감사 정책 배포: 보안 시스템 확장 감사
- 고급 보안 감사 정책에 대해 알아보기

도메인 컨트롤러의 Microsoft Defender for Identity 센서

온-프레미스에서 Active Directory를 실행하는 경우 도메인 컨트롤러에 Microsoft Defender for Identity 센서를 설치하여 Microsoft Defender for Identity 대한 데이터를 가져와야 합니다. 설치되고 올바르게 구성된 경우 이 데이터는 Microsoft Defender for Identity 통해 고급 헌팅에 공급되며 네트워크의 ID 정보 및 이벤트에 대한 보다 전체적인 그림을 제공합니다. 또한 이 데이터는 고급 헌팅에서 다루는 관련 경고를 생성하는 Microsoft Defender for Identity 기능을 향상시킵니다.

데이터 설명 스키마 테이블 구성 방법
도메인 컨트롤러 Microsoft Defender for Identity 전송된 온-프레미스 Active Directory 데이터로 계정 세부 정보, 로그온 활동 및 Active Directory 쿼리와 같은 ID 관련 정보를 보강합니다. IdentityInfo, IdentityLogonEventsIdentityQueryEvents를 포함한 여러 테이블 - Microsoft Defender for Identity 센서 설치
- 관련 Windows 이벤트 켜기

참고

이 문서의 일부 테이블은 엔드포인트용 Microsoft Defender 사용할 수 없습니다. Microsoft Defender XDR 켜서 더 많은 데이터 원본을 사용하여 위협을 헌팅합니다. 엔드포인트용 Microsoft Defender 고급 헌팅 쿼리 마이그레이션의 단계에 따라 고급 헌팅 워크플로를 엔드포인트용 Microsoft Defender Microsoft Defender XDR 이동할 수 있습니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.