Geavanceerde opsporingsdekking uitbreiden met de juiste instellingen

Opmerking

Wilt u Microsoft 365 Defender ervaren? Meer informatie over hoe u Microsoft 365 Defender kunt evalueren en piloten.

Van toepassing op:

  • Microsoft 365 Defender

Geavanceerde opsporing is afhankelijk van gegevens die afkomstig zijn van verschillende bronnen, waaronder uw apparaten, uw Office 365 werkruimten, Azure AD en Microsoft Defender for Identity. Zorg ervoor dat u de juiste instellingen hebt in de bijbehorende gegevensbronnen om de meest uitgebreide gegevens te verkrijgen.

Geavanceerde beveiligingscontrole op Windows-apparaten

Schakel deze geavanceerde controle-instellingen in om ervoor te zorgen dat u gegevens krijgt over activiteiten op uw apparaten, waaronder lokaal accountbeheer, beheer van lokale beveiligingsgroepen en het maken van services.

Gegevens Beschrijving Schematabel Configureren
Accountbeheer Gebeurtenissen die zijn vastgelegd als verschillende ActionType waarden die wijzen op het maken, verwijderen en andere accountgerelateerde activiteiten DeviceEvents - Een geavanceerd beveiligingscontrolebeleid implementeren: Gebruikersaccountbeheer controleren
- Meer informatie over geavanceerd beveiligingscontrolebeleid
Beheer van beveiligingsgroepen Gebeurtenissen die zijn vastgelegd als verschillende ActionType waarden die duiden op het maken van lokale beveiligingsgroepen en andere lokale groepsbeheeractiviteiten DeviceEvents - Een geavanceerd beveiligingscontrolebeleid implementeren: Beveiligingsgroepbeheer controleren
- Meer informatie over geavanceerd beveiligingscontrolebeleid
Service-installatie Gebeurtenissen die zijn vastgelegd met de ActionType waarde ServiceInstalled, die aangeven dat er een service is gemaakt DeviceEvents - Een geavanceerd beveiligingscontrolebeleid implementeren: Uitbreiding van het beveiligingssysteem controleren
- Meer informatie over geavanceerd beveiligingscontrolebeleid

Microsoft Defender for Identity sensor op de domeincontroller

Als u Active Directory on-premises uitvoert, moet u de Microsoft Defender for Identity sensor op de domeincontroller installeren om gegevens voor Microsoft Defender for Identity op te halen. Wanneer deze gegevens zijn geïnstalleerd en correct zijn geconfigureerd, worden deze gegevens ook via Microsoft Defender for Identity meegenomen in geavanceerde opsporing en bieden ze een meer holistisch beeld van identiteitsinformatie en gebeurtenissen in uw netwerk. Deze gegevens verbeteren ook de mogelijkheid van Microsoft Defender for Identity om relevante waarschuwingen te genereren die ook worden behandeld door geavanceerde opsporing.

Gegevens Beschrijving Schematabel Configureren
Domeincontroller Gegevens van on-premises Active Directory verzonden naar Microsoft Defender for Identity, waardoor identiteitsgerelateerde informatie wordt verrijkt, zoals accountgegevens, aanmeldingsactiviteit en Active Directory-query's Meerdere tabellen, waaronder IdentityInfo, IdentityLogonEvents en IdentityQueryEvents - De Microsoft Defender for Identity sensor installeren
- Relevante Windows-gebeurtenissen inschakelen

Opmerking

Sommige tabellen in dit artikel zijn mogelijk niet beschikbaar in Microsoft Defender voor Eindpunt. Schakel Microsoft 365 Defender in om bedreigingen op te sporen met behulp van meer gegevensbronnen. U kunt uw geavanceerde opsporingswerkstromen verplaatsen van Microsoft Defender voor Eindpunt naar Microsoft 365 Defender door de stappen te volgen in Geavanceerde opsporingsquery's migreren van Microsoft Defender voor Eindpunt.