Utvid avansert jaktdekning med de riktige innstillingene
Gjelder for:
- Microsoft Defender XDR
Avansert jakt er avhengig av data som kommer fra ulike kilder, inkludert enhetene dine, Office 365 arbeidsområder, Microsoft Entra ID og Microsoft Defender for identitet. Hvis du vil ha de mest omfattende dataene mulig, må du sørge for at du har de riktige innstillingene i de tilsvarende datakildene.
Avansert sikkerhetsovervåking på Windows-enheter
Slå på disse avanserte overvåkingsinnstillingene for å sikre at du får data om aktiviteter på enhetene dine, inkludert lokal kontoadministrasjon, administrasjon av lokal sikkerhetsgruppe og oppretting av tjenester.
| Data | Beskrivelse | Skjematabell | Slik konfigurerer du |
|---|---|---|---|
| Kontoadministrasjon | Hendelser som er registrert som ulike ActionType verdier som angir lokal kontooppretting, sletting og andre kontorelaterte aktiviteter |
DeviceEvents | – Distribuer en avansert sikkerhetsovervåkingspolicy: Overvåke brukerkontobehandling - Finn ut mer om avanserte sikkerhetsrevisjonspolicyer |
| Administrasjon av sikkerhetsgruppe | Hendelser som er registrert som ulike ActionType verdier som angir oppretting av lokal sikkerhetsgruppe og andre aktiviteter for lokal gruppeadministrasjon |
DeviceEvents | – Distribuer en avansert sikkerhetsrevisjonspolicy: Administrasjon av overvåkingssikkerhetsgruppe - Finn ut mer om avanserte sikkerhetsrevisjonspolicyer |
| Tjenesteinstallasjon | Hendelser som er registrert med ActionType verdien ServiceInstalled, som angir at en tjeneste er opprettet |
DeviceEvents | – Distribuer en avansert sikkerhetsrevisjonspolicy: Overvåkingssikkerhetssystemutvidelse - Finn ut mer om avanserte sikkerhetsrevisjonspolicyer |
Microsoft Defender for identitet sensor på domenekontrolleren
Hvis du kjører Active Directory lokalt, må du installere Microsoft Defender for identitet-sensoren på domenekontrolleren for å hente data for Microsoft Defender for identitet. Når de er installert og riktig konfigurert, strømmer disse dataene også inn i avansert jakt gjennom Microsoft Defender for identitet og gir et mer helhetlig bilde av identitetsinformasjon og hendelser i nettverket. Disse dataene forbedrer også muligheten Microsoft Defender for identitet til å generere relevante varsler som også dekkes av avansert jakt.
| Data | Beskrivelse | Skjematabell | Slik konfigurerer du |
|---|---|---|---|
| Domenekontroller | Data fra lokal Active Directory sendt til Microsoft Defender for identitet, beriker identitetsrelatert informasjon, for eksempel kontodetaljer, påloggingsaktivitet og Active Directory-spørringer | Flere tabeller, inkludert IdentityInfo, IdentityLogonEvents og IdentityQueryEvents |
-
Installer sensoren Microsoft Defender for identitet - Slå på relevante Windows-hendelser |
Obs!
Noen tabeller i denne artikkelen er kanskje ikke tilgjengelige i Microsoft Defender for endepunkt. Slå på Microsoft Defender XDR for å lete etter trusler ved hjelp av flere datakilder. Du kan flytte avanserte jaktarbeidsflyter fra Microsoft Defender for endepunkt til Microsoft Defender XDR ved å følge trinnene i Overføre avanserte jaktspørringer fra Microsoft Defender for endepunkt.
Beslektede emner
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.